政府規管關鍵基礎設施及其電腦系統的《保護關鍵基礎設施(電腦系統)條例》,將於明年1月1日實施。有報道稱政府已經在近月向業界發出《實務守則》的最後擬稿,當中提到當局為判斷設施是否屬關鍵電腦系統,可索取涉及核心功能的電腦系統結構、處理敏感資料性質及數量等資料。當局原本指營運者採購時要考慮國安和制裁風險,最新說法改為考慮地緣政治及供應鏈風險。
今年通過的法例中,有8個界別公司或機構被納入規管,包括能源、銀行、交通、電訊等,它們要按法例檢視其電腦系統保安,達到合法的營運標準,如得知嚴重保安事故後12小時內通報、參與政府演習、通報電腦系統的重大改變等。
保安局在立法階段曾經指出,營運者在採購時要考慮國家安全風險和制裁風險。《明報》今(24日)報道,最新版本的《實務守則》改稱,營運者可視乎評估地緣政治及供應鏈風險,應採用多元或開源(open source)零部件,避免過度依賴單一或少數供應商;並未直接提及「國家安全」。
另外,規管機構可向受規管的機構索取的資料,包括涉及核心技術的軟硬件生產商及型號、資訊科技及電訊服務供應商、核心功能的電腦系統結構、處理敏感資料性質及數量、網絡圖,並解釋系統設計及運作文件等,以判斷系統是否屬關鍵電腦系統。
《實務守則》擬稿定義保安系統事故,包括影響關鍵基建核心功能的停機、大量客戶資料外泄,或有人威脅攻擊系統等。
擬稿並提到,受規管機構要向政府專責的辦公室提交應急計劃,該計劃最少每兩年檢討一次;並保留系統的登入及修改紀錄最少半年。
保安局表示,《實務守則》非附屬法例,營運者不遵從守則本身不構成罪行;但營運者不遵從當局因其未遵從守則而發出的指示,才算犯罪。
外界在條例的公眾諮詢時,已經憂慮會影響當局權力過大,擔心用戶資料、商業機密的保護問題。但是港府重申,條例並不針對營運商持有個人資料或商業秘密。@
--------------------
向每位救援者致敬
願香港人彼此扶持走過黑暗
--------------------
🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
