《保護關鍵基礎設施(電腦系統)條例草案》於3月19日獲立法會三讀通過,保安局局長鄧炳強預告條例目標2026年1月1日生效,期間會成立專責辦公室,半年內開始分階段指定營運者及系統。
條例旨在加強關鍵基礎設施的電腦系統保安能力,設施營運者要通報電腦系統重大變化、參加保安演習等,違者會被罰款50萬元至500萬元。
為什麼要立法規管關鍵基礎設施的電腦系統?
關鍵基礎設施是指對維持社會正常運作和市民正常生活必需或非常重要的基礎設施。現今關鍵基礎設施的運作越趨依賴互聯網、電腦系統、通訊基礎設施及智慧設備等,其電腦系統也更易受到攻擊,影響嚴重 。一旦關鍵基礎設施的運作因其電腦系統受到攻擊而被干 擾,甚或可能產生連鎖效應 , 影響整個社會,嚴重危害經濟、民生和公共安全等公眾利益。因此,相關條例要求 「關鍵基礎設施營運者」 設立專責管理單 位 ,監督其電腦系統的安全,並採取預防措施 (包括制定電腦系統安全管理計劃、進行風險評估及審核 ),以加強 「關鍵基礎設施營運者」 的靭性,應對電腦系統所受到的攻擊 , 並為任何 緊急情況 作好準備。「關鍵基礎設施營運者」 須向專員報告電腦系統安全事故, 同時按其提交的應 急計劃自行採取應對措施 , 還原系統 。 專員在有需要時可採取補救措施,提供適時協助,控制問題和減低影響其他關鍵基礎設施的機會,從而令香港社會運作和市民生活 維持正常 。
「關鍵基礎設施營運者」 有什麼責任?
根據條例草案, 關鍵基礎設施營運者必須:
(1) 通知專員或 指定當局 有關其 電腦系統的重大變化 ,包括 「關鍵電腦系統」 的 設計、配置、安全或運行等的重大變化;
(2) 擬定和實施 電腦系統安全管理計劃 ,並把計劃提交專員或指定當局 ;
(3) 至少每年進行一次電腦系統安全風險評估 ,並向專員或指定當局提交報告;
(4) 至少每兩年進行一次獨立電腦系統 安全審核 ,並向專員或指定當局提交報告
(5) 參與由專員安排的電腦系統安全演習 ;
(6) 制定和推行應急計劃 , 並向專員提交計劃 ;以及
(7) 向專員通報 「關鍵電腦系統」 的電腦系統安全事故 (即任何事件 涉及在無合法權限下取用 「關鍵電腦系統」,或對或透過 「關鍵 電腦系統」 (或另一個電腦系統 )所作出的任何其他行為,而該事件對 「關鍵電腦系統」 的電腦系統安全構成實際的不良影響 3 )。 如有關的嚴重事故已干擾,正干擾或相當可能干擾關鍵基礎設施的核心功能, 「關鍵基礎設施營運者」 必須在得悉事故後的 12小時內作出通報,如屬其他事故,則必須在4 8 小時內通報 。
更詳盡的條例草案內容,請閱立法會網頁。
Amidas 是網絡安全解決方案的專家,致力於幫助企業保護其數字資產。我們的技術顧問團隊擁有超過 15 年的網絡安全經驗,能夠為您的企業提供定制的解決方案,有效應對各種安全挑戰。無論是強化防禦、確保合規,還是防範新興威脅,我們都能為您提供最合適的策略,助您建立穩固的安全基礎。立即與我們的專家團隊聯繫,為您的企業打造更安全的未來!與我們聯繫以了解更多資訊並做出正確的決定。
電話:2168 0388
Whatsapp: 9828 3401
電郵:[email protected]
資料來源:
