搜尋目錄
語言目錄
流動式目錄
搜尋
政府資訊科技總監辦公室
主頁
最新消息
近期更新新聞公報演辭及簡報資料立法會文件圖片刊物諮詢文件一般告示發給資訊科技承辦商/供應商的通告/告示
新聞公報
< 返回
29-05-2024

立法會十八題:政府部門和其他公營機構的網絡安全

以下是今日(五月二十九日)在立法會會議上陳克勤議員的提問和創新科技及工業局局長孫東教授的書面答覆:

問題:

據報,近年政府部門和其他公營機構接二連三發生網絡安全事故,包括電腦系統遭黑客入侵及個人資料外洩,引起公眾的關注和憂慮。就此,政府可否告知本會:

(一)有否統計,過去三年,政府部門和其他公營機構發生多少宗資料外洩事件;政府部門就該等事件有何跟進行動,包括有否對相關負責人員作出處分,以及相關執法部門有否調查該等事件是否涉及刑事成分;如有,詳情為何;如否,原因為何;

(二)有何機制確保及監察政府部門和其他公營機構遵守香港個人資料私隱專員公署制訂的《資訊及通訊科技的保安措施指引》;

(三)鑑於根據政府資訊科技總監辦公室制訂的《基準資訊科技保安政策》,違反資訊科技保安政策的公務員可受到有關紀律處分,有否公務員因第(一)項所述的資料外洩事件而受到紀律處分;如有,詳情為何;如否,原因為何;

(四)有否統計,本地網絡安全相關專才的數目,以及有何措施培訓更多相關人才,以提升政府部門和其他公營機構的網絡安全;及

(五)未來一年,政府有何具體計劃和措施(包括修訂或制定相關法例),以加強政府部門和其他公營機構的網絡安全?

答覆:

主席:

就陳克勤議員的提問,在諮詢政制及內地事務局、公務員事務局、保安局和勞工及福利局後,現回覆如下:

(一)及(三)在現行的《政府資訊科技保安政策及指引》(《政策及指引》)下,在發生政府資訊保安事故時,相關決策局/部門(局/部門)須向政府資訊保安事故應變辦事處通報,及視乎事故性質通報個人資料私隱專員公署(私隱專員公署)及/或警方。過去三年,政府資訊科技總監辦公室(資科辦)共接獲七宗可能涉及政府部門管有資料外洩的資訊保安事故報告。我們並沒有備存有關公營機構資訊保安事故的資料。

負責上述政府資訊保安事故相關系統的局/部門會就個別事件成立專責小組全面調查事故原因。如發現其人員或合約承辦商涉嫌違規或違法行為,局/部門首長會按既定的程序處理。公務員事務局不評論個別人員的紀律個案。

(二)政府各局/部門須遵循《政策及指引》所載的規定,而相關資訊保安原則基本上與私隱專員公署制訂的《資訊及通訊科技的保安措施指引》內所述的建議措施方向一致,包括須加密傳輸中和存儲中的資料;不可於公有雲平台存儲敏感及個人資料;以及各局/部門須定期為其資訊科技基礎設施、資訊系統及數據資產進行保安風險評估及審計等。《政策及指引》亦會向外發布,供業界(包括公私營機構)參閱及按其情況制訂適用的資訊科技保安措施。

(四)根據職業訓練局於二○二二年進行的人力調查統計,本港資訊保安相關專才的數目為1 587人,當中約一半為網絡安全相關專才。政府正進行新一輪人力資源推算,評估各主要產業(包括創新科技產業)未來五年的人力需求。主要分析結果預計於今年第三季備妥,而詳細報告最快於二○二五年年初公布,相信能夠協助我們做好與網絡安全相關的人力資源規劃。

資科辦一直致力推動各項措施,促進香港資訊科技保安行業的全面發展和人才培訓,以及加強相關人員的網絡安全防禦能力,相關措施包括:

(i)聯同資訊科技業界定期舉辦包括專題研討會、技術工作坊、資訊保安證書課程、網絡攻擊事故應變訓練、網絡保安峰會等活動,提升資訊科技人員的資訊保安技術和知識;

(ii)與業界協作,透過舉辦例如學校探訪、「資安探訪團」、「網絡安全青年計劃」、「香港網絡保安新生代奪旗挑戰賽」等不同類型的推廣活動,培養青年人及學生對網絡安全的認識和興趣,以鼓勵及培育更多有志投身資訊保安行業的人才;及

(iii)支持大專院校提供更多資訊保安課程,並聯同資訊保安專業團體向資訊科技人員推廣專業認證,舉辦研討會及工作坊等活動,培訓更多具備資訊保安專業知識和技能的資訊科技人員。

(五)為確保政府資訊科技系統的推行和運作暢順,資科辦已於二○二四年二月向各局/部門推出一系列新措施,包括為大型及高風險資訊科技項目在推出前安排額外的獨立網絡安全測試,例如透過模擬實際入侵攻擊演練,有助局/部門及早發現和修補相關系統漏洞,並評估系統在應對網絡攻擊時的偵測及復原能力。資科辦亦正積極研究措施,加強局/部門的恆常資訊系統保安風險評估及審計工作、日常網絡檢測、抽查、遵行審計和員工培訓等,以提升政府資訊系統及網絡安全的監察和防禦能力。

此外,資科辦會在今年下半年牽頭舉辦網絡安全攻防演練,並透過加入具備實力和經驗的內地攻防演練機構,測試和加強政府部門和公營機構的資訊系統安全。資科辦亦會持續參考最新的技術發展,以及國家和國際資訊保安管理標準,不時更新《政策及指引》,加強政府資訊科技保安要求,以應對日益增加的網絡保安風險。

為了提升對關鍵基礎設施網絡安全的保護,政府正計劃以立法方式清晰訂定關鍵基礎設施營運者的網絡安全責任,包括建立良好的防範管理體系,以確保其資訊系統和網絡安全運作。保安局的目標是在今年內向立法會提交立法草案。

- 完 -

熱切期待 更好將來 — 創新及科技
2024-25年度財政預算案
行政長官 2023 年施政報告
促進粵港澳大灣區數據跨境流動
買一手樓懶人包
《香港國安法》頒布三周年展覽
長者進階數碼培訓計劃:新一期課程現正接受報名
亞洲消防國際會議2024
舉報貪污去廉署
長者數碼外展計劃
檢視衞生黑點
社企有建樹 你我都支持
立法管制大麻二酚(CBD)
全民國家安全教育日
「創客中國」國際中小企業創新創業大賽 - 香港分站賽
電子健康紀錄互通系統(醫健通)
完善選舉制度 落實愛國者治港
維護廉潔選舉
使用智方便 生活新體驗
空間數據共享平台網站
維護國家安全
多功能智慧燈柱
資料便覽:政府資訊科技總監辦公室
資訊及通訊科技活動日誌
智慧政府創新實驗室
talent.gov.hk
新專利制度
禁止蒙面規例
樂齡IT易學站
香港法律樞紐
粵港澳大灣區
Cybersec Infohub
防貪諮詢服務
獲批准的籌款活動
網絡安全資訊站
香港法律服務
IT職業楷模平台
香港智慧城市藍圖網站
無障礙網頁/流動應用程式運動
粵港兩地電子簽名證書互認
康復服務市場顧問辦事處
在香港發展數據中心
Wi-Fi․HK
連結到「香港政府一站通」
政府電腦保安事故協調中心 (GovCERT․HK)
資料一線通
共通中文界面網站
內地與香港關於建立更緊密經貿關係的安排
粵港信息化合作
香港資訊及通訊科技獎
資訊安全網
學生IT園地
上一頁下一頁