在日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅下�����,保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的電腦系統(tǒng)安全變得至關(guān)重要����。香港保安局日前就《加強(qiáng)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施電腦系統(tǒng)安全》的建議立法框架進(jìn)行了廣泛咨詢(xún),筆者亦提交了一系列建議�����。令人鼓舞的是��,當(dāng)局采納了部分內(nèi)容�,同時(shí)積極回應(yīng)業(yè)界意見(jiàn),提出多項(xiàng)修訂和優(yōu)化措施�。本文旨在支持保安局的這些修訂,并提出進(jìn)一步建議����。
首先,筆者支持保安局因應(yīng)咨詢(xún)期間的主要意見(jiàn)����,提出修訂和優(yōu)化措施����,包括移除對(duì)“關(guān)連系統(tǒng)”的規(guī)管要求�����。此舉有助于精準(zhǔn)聚焦真正對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)作至關(guān)重要的電腦系統(tǒng)�,避免監(jiān)管范圍過(guò)度擴(kuò)大��。
此外�,移除須報(bào)告變更“擁有權(quán)”的要求,也考慮到實(shí)際操作的困難�����,特別是對(duì)于上市公司����,頻繁的所有權(quán)變更可能難以及時(shí)報(bào)告。將嚴(yán)重事故的通報(bào)時(shí)限由2小時(shí)延長(zhǎng)至12小時(shí)����,讓營(yíng)運(yùn)者有更充裕的時(shí)間進(jìn)行初步調(diào)查�����,確保通報(bào)準(zhǔn)確無(wú)誤����。保安局亦計(jì)劃在《實(shí)務(wù)守則》中提供詳細(xì)指引����,協(xié)助營(yíng)運(yùn)者與第三方服務(wù)供應(yīng)商訂立合約,確保雙方清楚了解法定責(zé)任�,這對(duì)業(yè)界而言是一項(xiàng)重要的支持措施。
作為香港創(chuàng)新科技發(fā)展協(xié)會(huì)的創(chuàng)會(huì)主席�,筆者在咨詢(xún)期間提交了相關(guān)建議,并對(duì)保安局的積極回應(yīng)表示肯定��。我的建議包括加強(qiáng)對(duì)“關(guān)鍵基礎(chǔ)設(shè)施”和“關(guān)鍵電腦系統(tǒng)”的明確定義�����,確保業(yè)界對(duì)法規(guī)適用范圍有清晰理解�,避免不必要的混淆。例如����,筆者建議明確界定“關(guān)鍵基礎(chǔ)設(shè)施營(yíng)運(yùn)者”的條件���,尤其是在特區(qū)政府代表參與董事會(huì)或管理層時(shí),如何界定這些營(yíng)運(yùn)者是否受條例規(guī)管�;亦建議在事故通報(bào)方面增加彈性,對(duì)于嚴(yán)重事故���,適當(dāng)延長(zhǎng)通報(bào)時(shí)間���,以便營(yíng)運(yùn)者進(jìn)行初步調(diào)查并提供準(zhǔn)確資訊。保安局采納部分建議�,放寬通報(bào)時(shí)限,顯示特區(qū)政府在訂立條例時(shí)考慮了業(yè)界實(shí)際操作的困難���。
其次,筆者理解并認(rèn)同保安局在回應(yīng)業(yè)界誤解和疑慮時(shí)所作的澄清和解說(shuō)���。保安局澄清�,擬議條例不具域外效力���,只要求在香港設(shè)有辦公室的營(yíng)運(yùn)者提交其可取得的資料��,消除了部分業(yè)界對(duì)域外法律風(fēng)險(xiǎn)的顧慮����。同時(shí),條例明確表示不會(huì)針對(duì)個(gè)人資料和商業(yè)機(jī)密����,僅著重保障系統(tǒng)安全。只有符合“關(guān)鍵基礎(chǔ)設(shè)施”定義的少數(shù)資訊科技公司才會(huì)受規(guī)管�,其他中小企業(yè)不在其列。針對(duì)事故發(fā)生時(shí)的應(yīng)對(duì)措施�����,保安局解釋?zhuān)挥性跇O少數(shù)營(yíng)運(yùn)者無(wú)法自行解決的情況下�����,才會(huì)向裁判官申請(qǐng)手令���,在關(guān)鍵電腦系統(tǒng)中采取必要措施應(yīng)對(duì)事故�,此做法充分考慮了必要性和相稱(chēng)性�。
為了支持上述修訂和澄清,筆者在建議中強(qiáng)調(diào)營(yíng)運(yùn)者需要靈活性以應(yīng)對(duì)不同類(lèi)型的網(wǎng)絡(luò)威脅����。例如����,我建議在《實(shí)務(wù)守則》中提供詳細(xì)的事故應(yīng)對(duì)指引��,協(xié)助營(yíng)運(yùn)者在面對(duì)網(wǎng)絡(luò)攻擊時(shí)迅速反應(yīng)����;還建議保安局考慮為“關(guān)鍵基礎(chǔ)設(shè)施營(yíng)運(yùn)者”設(shè)立相應(yīng)的網(wǎng)絡(luò)安全認(rèn)證程序,并定期進(jìn)行審計(jì)���,確保營(yíng)運(yùn)者保持高標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全實(shí)踐����。上述建議不僅有助于提升香港整體網(wǎng)絡(luò)安全水平���,也為業(yè)界提供更清晰的合規(guī)路徑���。
加強(qiáng)與業(yè)界合作 開(kāi)展演習(xí)
筆者亦呼吁保安局在《實(shí)務(wù)守則》中加入針對(duì)第三方供應(yīng)商的具體指引�,例如怎樣選擇具備適當(dāng)資質(zhì)的供應(yīng)商,并要求第三方定期進(jìn)行網(wǎng)絡(luò)安全審計(jì)���,確保其符合相關(guān)法定標(biāo)準(zhǔn)��。此舉將有助于確保供應(yīng)鏈安全��,避免因第三方安全漏洞而影響整體系統(tǒng)安全性��。筆者認(rèn)為�����,不論是否屬于關(guān)鍵基礎(chǔ)設(shè)施���,特區(qū)政府應(yīng)考慮為中小企業(yè)提供更多支持���,如提供資金或技術(shù)支援,幫助企業(yè)提升架構(gòu)����,這將有助于提升香港的網(wǎng)絡(luò)及數(shù)據(jù)安全水平。
筆者認(rèn)為����,特區(qū)政府應(yīng)加強(qiáng)與業(yè)界合作,共同開(kāi)展網(wǎng)絡(luò)安全演習(xí)�����,讓營(yíng)運(yùn)者在模擬環(huán)境中測(cè)試其應(yīng)對(duì)能力和流程,及時(shí)改進(jìn)不足��。例如�����,保安局可定期舉辦與業(yè)界的聯(lián)合演習(xí)���,模擬不同類(lèi)型的網(wǎng)絡(luò)攻擊情景���,讓營(yíng)運(yùn)者實(shí)際演練事故應(yīng)對(duì)程序,這將有助于提升整體應(yīng)對(duì)能力���。
最后�����,再次歡迎保安局從善如流���,積極回應(yīng)業(yè)界關(guān)注并釋除疑慮����。保安局聆聽(tīng)各界意見(jiàn)��,采取適當(dāng)修訂措施��,顯示特區(qū)政府對(duì)透明度與合規(guī)性的重視�����。這些修訂不僅有助于業(yè)界更好地理解和遵守條例的法定責(zé)任����,亦增強(qiáng)營(yíng)運(yùn)者對(duì)特區(qū)政府政策的信任感���。例如����,保安局放寬了事故通報(bào)時(shí)限�����,并在《實(shí)務(wù)守則》中提供協(xié)助營(yíng)運(yùn)者與服務(wù)供應(yīng)商訂立合約的具體指引���,這些措施有助于減少業(yè)界顧慮并提升合規(guī)效率�。這種良性互動(dòng)不僅體現(xiàn)特區(qū)政府與業(yè)界之間的有效溝通,也為未來(lái)香港的網(wǎng)絡(luò)安全體系打下堅(jiān)實(shí)基礎(chǔ)����。
期待未來(lái)保安局繼續(xù)與業(yè)界緊密交流和合作,確保新條例的實(shí)施能夠有效提升關(guān)鍵基礎(chǔ)設(shè)施的安全�,同時(shí)不對(duì)業(yè)界帶來(lái)過(guò)多負(fù)擔(dān)。通過(guò)持續(xù)的交流與合作�����,我們相信香港能夠建立起一個(gè)更加安全����、可靠的網(wǎng)絡(luò)環(huán)境,保障社會(huì)的穩(wěn)定和繁榮����。
(作者為香港創(chuàng)科發(fā)展協(xié)會(huì)創(chuàng)會(huì)主席)
京公網(wǎng)安備11010502037337號(hào)