以下是今日(五月二十九日)在立法会会议上陈克勤议员的提问和创新科技及工业局局长孙东教授的书面答覆:
问题:
据报,近年政府部门和其他公营机构接二连三发生网络安全事故,包括电脑系统遭黑客入侵及个人资料外泄,引起公众的关注和忧虑。就此,政府可否告知本会:
(一)有否统计,过去三年,政府部门和其他公营机构发生多少宗资料外泄事件;政府部门就该等事件有何跟进行动,包括有否对相关负责人员作出处分,以及相关执法部门有否调查该等事件是否涉及刑事成分;如有,详情为何;如否,原因为何;
(二)有何机制确保及监察政府部门和其他公营机构遵守香港个人资料私隐专员公署制订的《资讯及通讯科技的保安措施指引》;
(三)鉴于根据政府资讯科技总监办公室制订的《基准资讯科技保安政策》,违反资讯科技保安政策的公务员可受到有关纪律处分,有否公务员因第(一)项所述的资料外泄事件而受到纪律处分;如有,详情为何;如否,原因为何;
(四)有否统计,本地网络安全相关专才的数目,以及有何措施培训更多相关人才,以提升政府部门和其他公营机构的网络安全;及
(五)未来一年,政府有何具体计划和措施(包括修订或制定相关法例),以加强政府部门和其他公营机构的网络安全?
答覆:
主席:
就陈克勤议员的提问,在谘询政制及内地事务局、公务员事务局、保安局和劳工及福利局后,现回覆如下:
(一)及(三)在现行的《政府资讯科技保安政策及指引》(《政策及指引》)下,在发生政府资讯保安事故时,相关决策局/部门(局/部门)须向政府资讯保安事故应变办事处通报,及视乎事故性质通报个人资料私隐专员公署(私隐专员公署)及/或警方。过去三年,政府资讯科技总监办公室(资科办)共接获七宗可能涉及政府部门管有资料外泄的资讯保安事故报告。我们并没有备存有关公营机构资讯保安事故的资料。
负责上述政府资讯保安事故相关系统的局/部门会就个别事件成立专责小组全面调查事故原因。如发现其人员或合约承办商涉嫌违规或违法行为,局/部门首长会按既定的程序处理。公务员事务局不评论个别人员的纪律个案。
(二)政府各局/部门须遵循《政策及指引》所载的规定,而相关资讯保安原则基本上与私隐专员公署制订的《资讯及通讯科技的保安措施指引》内所述的建议措施方向一致,包括须加密传输中和存储中的资料;不可于公有云平台存储敏感及个人资料;以及各局/部门须定期为其资讯科技基础设施、资讯系统及数据资产进行保安风险评估及审计等。《政策及指引》亦会向外发布,供业界(包括公私营机构)参阅及按其情况制订适用的资讯科技保安措施。
(四)根据职业训练局于二○二二年进行的人力调查统计,本港资讯保安相关专才的数目为1 587人,当中约一半为网络安全相关专才。政府正进行新一轮人力资源推算,评估各主要产业(包括创新科技产业)未来五年的人力需求。主要分析结果预计于今年第三季备妥,而详细报告最快于二○二五年年初公布,相信能够协助我们做好与网络安全相关的人力资源规划。
资科办一直致力推动各项措施,促进香港资讯科技保安行业的全面发展和人才培训,以及加强相关人员的网络安全防御能力,相关措施包括:
(i)联同资讯科技业界定期举办包括专题研讨会、技术工作坊、资讯保安证书课程、网络攻击事故应变训练、网络保安峰会等活动,提升资讯科技人员的资讯保安技术和知识;
(ii)与业界协作,透过举办例如学校探访、「资安探访团」、「网络安全青年计划」、「香港网络保安新生代夺旗挑战赛」等不同类型的推广活动,培养青年人及学生对网络安全的认识和兴趣,以鼓励及培育更多有志投身资讯保安行业的人才;及
(iii)支持大专院校提供更多资讯保安课程,并联同资讯保安专业团体向资讯科技人员推广专业认证,举办研讨会及工作坊等活动,培训更多具备资讯保安专业知识和技能的资讯科技人员。
(五)为确保政府资讯科技系统的推行和运作畅顺,资科办已于二○二四年二月向各局/部门推出一系列新措施,包括为大型及高风险资讯科技项目在推出前安排额外的独立网络安全测试,例如透过模拟实际入侵攻击演练,有助局/部门及早发现和修补相关系统漏洞,并评估系统在应对网络攻击时的侦测及复原能力。资科办亦正积极研究措施,加强局/部门的恒常资讯系统保安风险评估及审计工作、日常网络检测、抽查、遵行审计和员工培训等,以提升政府资讯系统及网络安全的监察和防御能力。
此外,资科办会在今年下半年牵头举办网络安全攻防演练,并透过加入具备实力和经验的内地攻防演练机构,测试和加强政府部门和公营机构的资讯系统安全。资科办亦会持续参考最新的技术发展,以及国家和国际资讯保安管理标准,不时更新《政策及指引》,加强政府资讯科技保安要求,以应对日益增加的网络保安风险。
为了提升对关键基础设施网络安全的保护,政府正计划以立法方式清晰订定关键基础设施营运者的网络安全责任,包括建立良好的防范管理体系,以确保其资讯系统和网络安全运作。保安局的目标是在今年内向立法会提交立法草案。
-完-