嚴重事故通報時限擬放寬至12小時 接納口頭形式
【明報專訊】保護「關鍵基礎設施電腦系統」安全條例最快今年底提交立法會審議,保安局立法框架早前建議,一旦發生嚴重電腦系統保安事故,機構營運者須在得悉事故發生兩小時內通報專責辦公室,其他事故則要在24小時內通報。局方昨日稱理解實際困難,擬分別放寬通報嚴重事故及其他事故時限至12小時及48小時。局方考慮賦權新成立的專責辦公室,在關鍵系統已經或可能受干擾或服務中斷時,主動向營運者調查事故原因,確定是否由攻擊引致。
公營機構涵否 保安局:機構為本
被問到專辦向營運者了解事故成因,是否已符合通報要求,保安局發言人昨稱,接受以電話口頭或電郵形式通報;若營運者回應專辦主動調查成因,某程度上已符合通報要求;除非事故相對複雜,而專辦調查時未有涵蓋所有涉及事故,營運者或需再主動通報。
立法框架建議,規管擬涵蓋八大界別關鍵基礎設施營運者,及維持重要社會和經濟活動的基礎設施。被問到公營機構是否涵蓋,局方發言人重申採取「機構為本」原則,視乎某機構對關鍵基礎設施控制程度等,若符合定義亦可能受規管。至於會否仿效私隱專員公署每年發表年報,發言人指法例暫無要求相關安排;基於安全理由不會公開受規管對象名單,避免遭「立心不良」者針對攻擊,惟法例無禁止營運者公開被規管,後者做法不涉違規。
營運者不再須報告「擁有權」變更
局方引述業界,認為難以經常報告關鍵基礎設施「擁有權」的變更,尤其是上市公司。發言人稱理解實際困難,擬移除相關要求,營運者僅需就「營運權」向專辦報告。至於要求營運者至少每兩年一次參與電腦系統安全演習,發言人認為已參考國際標準釐定,有關要求合適。