你的企業準備好了嗎？香港網絡安全新法《加強保護關鍵基礎設施電腦系統安全》

香港的數碼環境比以往任何時候都更具活力和互聯性。但伴隨這種快速發展而來的，是日益複雜的網絡威脅。從針對大型企業的勒索軟件攻擊，到影響成千上萬人的資料外洩事件，如今的風險從未如此之高。為應對這一挑戰，香港政府引入一項具里程碑意義的網絡安全法，標誌著本港的網絡安全策略將從「行業建議」轉向「法律規管」。

對於企業領袖、資訊科技經理和合規主任而言，這不僅僅是另一項法規。它將對本港大部分企業的營運和安全要求帶來根本性的改變。本文將為您深入剖析這項擬議法例的已知內容、受影響的對象，以及最重要的是，您今天應該採取哪些前瞻性措施，以確保您的機構不僅合規，而且安全。

超越新聞頭條：理解立法背後的「原因」

多年來，香港的網絡安全框架一直以自願性原則和特定行業的指引為主，例如由香港金融管理局（HKMA）和證券及期貨事務監察委員會（SFC）發布的指引。雖然這些指引對某些行業行之有效，但隨著網絡攻擊的規模和嚴重性不斷升級，建立一個統一、跨行業的法律框架已變得刻不容緩。

這項新法例的主要目標，是加強香港「關鍵資訊基礎設施」（Critical Information Infrastructure, CII）的安全與韌性。這些是維持城市日常運作、經濟穩定和公共安全的必要系統和網絡。通過強制要求這些營運者遵循更高的安全標準，政府旨在建立一個更強大、更協調的防禦體系，以抵禦可能對整個城市產生骨牌效應的網絡威脅。

您的企業是否在名單上？識別「關鍵資訊基礎設施營運者」（CIIO）

對於每家香港企業來說，核心問題是：「這項法例是否適用於我的業務？」該法例將明確針對被指定為「關鍵資訊基礎設施營運者」（CIIO）的實體。雖然最終名單尚待確認，但公眾諮詢文件已概述了幾個幾乎肯定會被納入的關鍵行業。

如果您的機構在以下任何一個行業中營運，您需要密切關注：

－ 能源及公用事業： 電力、燃氣和供水系統。
－ 交通運輸： 航空、公共交通網絡和海事服務。
－ 金融服務： 銀行、支付系統以及證券和期貨市場。
－ 資訊及通訊科技： 主要電訊網絡和數據中心。
－ 醫療保健： 提供必要服務的公營和私營醫院。
－ 公共服務： 政府服務及其他必要的公共職能。

如果您不是 CII 營運者，又該如何？

即使您的公司不直接屬於上述任何類別，您也無法完全免受法例的影響。新法規將在整個商業生態系統中產生漣漪效應。CII 營運者將被要求嚴格審查其供應鏈合作夥伴和託管服務供應商的安全狀況。如果您為 CII 營運者提供服務，您很可能需要滿足他們全新的、更高的安全標準。這項新法例勢將成為香港網絡安全最佳實踐的行業基準。

核心責任：法例對您的企業有何期望？

擬議的法例超越了簡單的建議，為所有指定的 CII 營運者引入了一系列強制性的法律責任。這些要求旨在創建一個全面、主動的安全框架。根據政府的建議，這些責任可能包括：

1. 進行正式的網絡安全風險評估
CII 營運者將被要求定期進行結構化的保安風險評估及審計（SRAA）。這不再是「可有可無」的選項，而是一項法律規定。這些評估必須識別關鍵資產、評估潛在威脅和漏洞，並正式記錄機構的風險狀況。其核心在於對您的安全弱點有清晰、基於證據的理解。

2. 嚴格的事故通報時限
其中一項最重要的變化是強制性的快速事故通報機制。當發生「嚴重網絡安全事故」時，CII 營運者將有法律責任在極短的時間內（例如 24 小時內）向監管機構報告。這要求機構必須備有健全且經過演練的事故應變（Incident Response）計劃，以便有效地偵測、控制和報告違規事件。

3. 遵循最低安全標準
法例將建立一套基本的安全控制和實踐標準。這將迫使營運者實施和維護一系列技術和程序上的保障措施，包括存取控制、網絡安全、數據加密和定期的系統修補。主動進行滲透測試或漏洞評估，可以幫助您在法例生效前識別和修復差距。

4. 定期進行網絡安全演習和員工培訓
技術只是方程式的一部分。預計法例將要求 CII 營運者定期進行網絡安全演習，以測試其應變能力，並為所有員工提供持續的安全意識培訓。一個具備韌性的機構，意味著每位員工都明白自己在預防和報告安全威脅方面的角色。

從被動應對到主動防禦：您的五步準備清單

等待法案最終通過才採取行動是一種高風險策略。現在就是準備的最佳時機。採取主動不僅能確保未來的合規性，更能立即加強您的機構抵禦當前威脅的能力。

第一步：確認您的定位
審視可能被納入的 CII 行業。您的業務是否在其中？您是否為這些行業的公司提供關鍵服務？在董事會層面展開討論，評估法例對您業務的潛在影響。

第二步：評估您當前的安全狀況
您無法保護您不了解的東西。與值得信賴的合作夥伴合作，進行一次全面的安全評估。一次徹底的保安風險評估及審計（SRAA）或滲透測試，將為您提供當前漏洞的清晰快照，並為您制定一份有優先次序的修復路線圖。

第三步：制定正式的事故應變計劃
如果您還沒有書面的事故應變計劃，請立即制定。如果您已有計劃，請進行測試。透過桌面演習模擬一次重大洩漏事件。您的團隊是否知道在最初的 24 小時內應該致電給誰、該做什麼？一個經過充分演練的計劃是實現有序恢復與陷入混亂之間的區別。

第四步：審視您的供應鏈安全
開始詢問您的主要供應商和服務提供商關於他們的網絡安全實踐。您的安全防線與您最薄弱的一環同樣脆弱，而監管機構將期望您能有效管理第三方風險。

第五步：與網絡安全專家合作
在應對複雜安全威脅的同時，要駕馭一個全新的法律框架可能會讓人不知所措。與託管式安全服務供應商（MSSP）合作，可以為您提供所需的專業知識和資源。從 24/7 全天候監控和威脅偵測，到合規諮詢和虛擬資訊安全總監（vCISO）服務，合適的合作夥伴能助您滿足監管要求，並建立真正的網絡韌性。

邁向安全合規的未來

香港即將出台的網絡安全法不僅僅是一項監管障礙，更是一個機遇。它是一個催化劑，促使企業提升其安全水平、保護其關鍵資產，並與客戶建立更深的信任。通過今天採取果斷、主動的措施，您的機構可以充滿信心地向前邁進，從容應對香港網絡安全的未來。

您的企業是否已為網絡安全監管的新時代做好準備？不要等到資料外洩後才找出答案。

立即聯繫我們進行免費諮詢，了解我們的滲透測試、保安風險評估及審計（SRAA）和託管式安全服務（MSSP）解決方案如何助您做好準備。

強化企業安全 🛡️ 立即行動

UD 是值得信賴的託管安全服務供應商（MSSP）
擁有 20+ 年經驗，已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務，全面保護現代企業。