[內附官方文件] 簡介「加強保護關鍵基礎設施電腦系統安全— 建議立法框架」

本文介紹了《立法會保安事務委員會》就“加強保護關鍵基礎設施電腦系統安全”提出的建議立法框架。此文件詳細闡述該框架的立法背景、目的、以及建議的具體內容和實施計劃。

立法背景

關鍵基礎設施指那些對於維持社會正常運作至關重要的設施，例如銀行、金融機構、通訊網絡、供電設施和鐵路系統等。一旦這些設施的電腦系統遭受網絡攻擊，可能會對社會產生嚴重影響。因此，加強這些設施的電腦系統安全至關重要。

全球立法趨勢

隨著全球各地不斷發生針對關鍵基礎設施的網絡攻擊事件，許多國家和地區已經制定了相應的法律來加強保護。例如，中國內地、澳門特別行政區、澳大利亞、歐盟、新加坡、英國和美國等地均已制定了相關法例來保護關鍵基礎設施的安全。

香港的立法需求

香港目前尚未針對關鍵基礎設施電腦系統的保護作出法定要求，但隨著資訊和通訊技術的快速發展，這些設施越來越依賴於互聯網和電腦系統，從而也更容易受到網絡攻擊。因此，有必要制定相關法例來加強這些設施的保護，從而提升香港整體的電腦系統安全。

建議立法制度

根據香港的具體情況以及對其他司法管轄區做法的參考，立法會保安事務委員會建議制定一條新的法例，暫名為《保障關鍵基礎設施（電腦系統）條例草案》。該條例的主要目的是要求關鍵基礎設施的營運者承擔法定責任，採取適當措施來加強其電腦系統的保安能力，從而減低網絡攻擊對必要服務的影響。

規管範疇和對象

立法會保安事務委員會建議，擬議條例應涵蓋以下兩大類關鍵基礎設施：

提供必要服務的基礎設施：如能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播。

維持重要社會和經濟活動的基礎設施：如大型體育及表演場地、科研園區等。

只有被明確指明的關鍵基礎設施營運者及其關鍵電腦系統才會受到規管。營運者需設有具專業知識的電腦系統安全管理部門，並負責制定和實施電腦系統安全管理計劃。

營運者的責任

營運者的責任主要分為三大類：

架構：營運者需在香港設有地址和辦事處，報告基礎設施的擁有權和運營權的變更，並設立專責部門負責電腦系統安全。

預防：營運者需制定並實施電腦系統安全管理計劃，進行定期的風險評估和安全審計，並確保其關鍵電腦系統符合相關法定要求。

事故通報及應對：營運者需參與定期的電腦系統安全演習，並在發生電腦系統保安事故時迅速通報並採取應對措施。

結語

通過制定《保障關鍵基礎設施（電腦系統）條例草案》，香港將能夠提升關鍵基礎設施的電腦系統安全，確保重要服務的穩定運行，從而鞏固其良好的營商環境和國際金融中心地位。
 

任何資安問題或諮詢請聯絡UD網絡安全專家

UD提供專業可靠的網絡安全方案及服務。網絡安全專家團隊擁有OSCP、GWAPT等認證，以及多年網絡安全工作經驗，曾為各大企業、金融、NGOs等機構提供服務。