網絡威脅日益增加,甚至有機會影響社會正常運作。政府於今年提出《保障關鍵基礎設施(電腦系統)條例草案》(下稱《擬議條例》),涵蓋八大產業,尤其是針對電腦系統的安全。近來,針對保障關鍵基礎設施(電腦系統)的條例草案已經引起了廣泛的討論和關注。主要是針對不斷增長的網絡攻擊和網絡罪案,保障關鍵基礎設施的安全不僅僅是一個單一機構或系統的問題,而是關乎整個香港社會和經濟運作的穩定性和安全性。
《擬議條例》下的關鍵基礎設施,包括:為香港提供必要服務的基礎設施,如能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播;以及其他維持重要的社會和經濟活動的基礎設施,如大型體育/表演場地、科研園區等亦包括在內。 受規管的機構應及早部署,了解自身網絡安全架構之外,亦可選用合適網絡安全方案,滿足法例要求,避免違規。
上述營運者在架構、預防、事故通報及應對責任三大類別上,需履行法定責任,如無合理原因下未能符合即屬違規。以下列出部份類別上的營運者責任,對於受規管的機構而言,要在有限的人手下預防網絡威脅、制定電腦系統安全管理計劃,以及發生事故時能迅速應對、通報及提交書面報告,成為符合法規的關鍵要點。
類別
營運者責任
架構
設有具專業知識的電腦系統管理部門(可自設 或外判)並由營運者公 司 的專責主管負責監 管,確保有專責部門處理電腦系統保安及跟進專責辦公室的指示
預防
進行電腦系統保安風險 評估 - 至少每年進行一次
進行獨立電腦系統保安 審計 - 至少每兩年進行一 次
事故通報及應對
參與電腦系統安全演習 - 至少每兩年一次
就應對並妥善處理突發事件制訂應急計劃
在指定時間內向專責辦公室報告有關「關鍵電腦系統」的保安事故
雖然大部份基礎設施營運者機構均設有IT部門,但要專責處理 擬議條例合符要求,所需額外IT資源也不能低估。香港電訊(HKT)身為全港最大網絡服務供應商,在網絡層面上具備優勢,能快而準地掌握本地至全球網絡攻擊情報,加上在網絡安全範疇上經驗豐富,無論在擬議條例中的架構、預防或制定安全管理計劃方面,均能為企業及機構提供最佳方案,以符合新法例要求。
在架構方面,無論在資金或人手上都需要投放大量資源,企業可採用網絡安全託管服務,將網絡安全工作外判,減輕企業負擔。HKT透過注入AI基礎並獲ISO27001認證的NG SOC(新世代網絡安全監控中心)作後盾,結合國際認證的專家團隊,提供24x7全天候本地支援,不受地域或時差限制,企業不用擔心人手問題。 此外,在預防方面,《擬議條例》要求營運者需進行漏洞評估及滲透測試。HKT所提供的「網絡安全漏洞評估服務」,能為企業提供網絡安全知識、預視性、洞見和風險級別,協助企業識別和修補網絡缺口(Cyber Exposure),了解目前所面對的潛在網絡威脅,並為每年電腦系統保安風險 評估作好準備。 《擬議條例》亦要求營運者需制定、實施及提交電腦系統安全管理計劃,包括建立監察及偵測機制;管理使用權限、帳戶及密碼;為遠端連線建立可行的政策;強化系統等。HKT 多元網絡安全方案,包括網絡安全事故應變服務(Incident Response) 方案,專家團隊快速事故回應,加快處理事件,按時提交事件報告。又例如需要進行定時電腦系統安全演習,一般企業機構未必能夠安排紅藍隊進行攻守演練,HKT與其合作夥伴便有齊所需方案。 《擬議條例》計劃在今年底提交立法會審議,預計2026年正式立法。HKT會密切注意條例進展,加強與合作夥伴生態圈並豐富網絡安全方案範疇, 協助機構盡早部署。 想了解更多 HKT 網絡保安託管服務,歡迎瀏覽: https://bit.ly/4eWj5xy
了解更多
時刻緊貼我們的最新動態
立即訂閱
需要協助?
立即聯絡我們