立法会七题:政府的资讯保安措施
以下是今日(四月二十二日)在立法会会议上容海恩议员的提问和创新及科技局局长杨伟雄的书面答复:
问题:
本年二月二十二日,有报章报道一份据称由行政长官办公室撰写并已提交中央的香港抗疫工作报告的内容。鉴于该类文件的性质理应属高度机密,有市民担忧政府的资讯保安措施存有严重漏洞。就此,政府可否告知本会:
(一)由二○一五年一月至今,政府发现多少宗怀疑有人违反资讯保安相关法例或守则以致资料外泄的事件,并以表逐一列出事件起因(例如资讯系统遭黑客入侵、有人疏忽或故意泄露资料)及其造成的影响,以及政府已采取的跟进措施及其成效;
(二)负责就第(一)项提及的事件进行调查的政府部门和人员的职称为何、调查工作的详情和跟进行动,以及调查结果在甚么情况下会公开;及
(三)会否因应资料外泄事件,对现行资讯保安的措施及机制进行全面检讨;若会,详情为何;若否,原因为何?
答复:
主席:
政府一直非常重视资讯及网络安全。政府资讯科技总监办公室(资科办)联同保安局已就资讯保安事宜制订一套全面的《政府资讯科技保安政策及指引》,涵盖管理架构、政策及技术措施,供各局及部门遵守和使用,以妥善保护资讯系统,及避免资料被泄漏予未获授权人士。制定过程中资科办参照国际良好作业模式,例如国际标准化组织(ISO)/国际电工委员会(IEC)27001标准。此外,资科办定期审计各部门遵行的情况,确保其资讯系统和网络设施符合保安要求。
就问题的各部分,现综合答复如下:
由二○一五年一月至今,资科办共接获19宗可能涉及政府管有资料外泄的资讯保安事故报告。有关的事故数字分类如下:
| 资讯保安事故分类 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 |
|---|---|---|---|---|---|---|
| 网络攻击入侵资讯系统 | 1 | 1 | - | 1 | - | - |
| 滥用资讯系统或操作失误 | - | 2 | 1 | 2 | 1 | - |
| 流动装置或抽取式媒体遗失或被盗 | 1 | 1 | 4 | 2 | 1 | 1 |
| 总数: | 2 | 4 | 5 | 5 | 2 | 1 |
根据现行的指引,上述事故涉及的资料皆已备份,并适当加密,各部门的运作并没有因事故而受到影响。
政府建立了一套应变机制及措施处理资讯保安事故,并要求各部门严格遵从规定。规定订明,在发生保安事故时,有关的部门必须向政府资讯保安事故应变办事处通报及提交资讯保安事故报告,并须就事故迅速展开调查和作出修正。就涉及个人资料的事故,我们亦已通报个人资料私隐专员公署,并通知所有受影响人士和向他们提出适切的资讯保安建议。事故若可能涉及刑事行为,有关部门须通报警方调查。此外,政府人员须严格遵守相关法规,包括《官方机密条例》、《保安规例》及《公务员守则》。
资科办会不时检讨和更新现行指引及程序,并已在二○一九年八月开展新一轮检讨及更新工作,预计在今年内完成。检讨工作将继续參考最新国际标准及业界良好作业模式,并因应资讯及网络安全的最新形势,审视和更新现有的《政府资讯科技保安政策和指引》,以期更有效保障政府的资讯系统及数据安全。
完
