半數關注事故通報期短 有倡延至72小時

半數關注事故通報期短有倡延至72小時

[2025.01.07] 發表

【明報專訊】規管關鍵基礎設施立法框架去年諮詢後，保安局放寬保安事故通報時限，由原先要求營運者於得悉嚴重電腦系統保安事故2小時內通報，延長至12小時內。根據諮詢期遮蔽關鍵基建名稱的意見書，約半回應者關注通知期太短、如何界定「得悉」事故的通報門檻不清，部分建議延長至事故後72小時內、甚至不列明具體時限。

指門檻不清倡「得悉」改「確定」被拒

多個提交意見書的機構反映，發現電腦系統保安事故到確定成因需時，而企業電腦系統幾乎每日都阻截威脅，但並非所有都要通報。有展覽業機構引述去年因網絡安全公司CrowdStrike更新導致微軟視窗系統全球故障，微軟當日用了相當時間確定並非黑客入侵，放在新法例下，理應毋須通報。

多個回應機構也關注，目前關鍵基建營運者知悉(become aware)事故的門檻太低或不清，建議提高至「確定」事故，但未獲採納。政府草案提及事故通知「須在切實可行的範圍內盡快(而無論如何須在指明時限內)作出」。

企業要求內部審計代替政府提出的兩年一次獨立安全審計，同遭駁回，草案釐清「任何電腦系統安全審核除非由獨立的審核員進行，否則不得視為已予進行」。

事故涵泄個人資料被質疑違立法原則

諮詢文件亦提及，嚴重事故包括「導致個人資料等數據大量外泄的事故」，被多次質疑與立法原則不涉個人資料有衝突，有回應者建議刪去。當局上月在最新立法會文件未再以個人資料外泄為例子，但《實務守則》草擬版訂立處理事故的建議指標，提及「特別是個人資料外泄」。

草案中主體法例未區分嚴重及其他事故，而是透過附表形式，界定須12小時內通報保安事故為「已干擾、正干擾或相當可能干擾關鍵基礎設施的核心功能」。

更多港聞