搜寻目录
语言目录
流动式目录
政府资讯科技总监办公室
25-08-2021

立法会九题:数据安全

以下是今日(八月二十五日)在立法会会议上陈振英议员的提问和创新及科技局局长薛永恒的书面答复:

问题:

本年六月十日,全国人民代表大会常务委员会通过《中华人民共和国数据安全法》(《安全法》),自九月一日起施行。就此,政府可否告知本会:

(一)鉴于《安全法》第二十一条订明,国家建立数据分类分级保护制度,以及有关部门制定重要数据目录并对列入目录的数据进行重点保护,政府有否考虑在港设立类似的数据保护制度;若有,详情为何;若否,原因为何;

(二)鉴于《安全法》第二十二条订明,国家建立集中统一、高效权威的数据安全风险评估、报告、信息共用及监测预警机制,而有关部门加强数据安全风险信息的获取、分析、研判、预警工作,政府有否考虑在港设立类似的数据安全监测机制;若有,详情为何;若否,原因为何;及

(三)鉴于《安全法》第二十三条订明,国家建立数据安全应急处置机制,以及在发生数据安全事件时主管部门应当采取相应的应急处置措施,政府有否考虑在港设立类似的应急处置机制;若有,详情为何;若否,原因为何?

答复:

主席:

经咨询保安局后,现综合答复如下:

政府已制定一套全面的政府资讯保安事故应变机制及相关措施。由保安局订立的《保安规例》包含规管资讯保安的专章,以保护政府内部资料及资讯系统的安全。当中,《保安规例》就政府资料作出了保密分类的定义,并明确要求政府部门把其管有的资料作出适当保密分類,以及就其分类采取相应措施,确保这些资料在储存及业务运作过程中得到充分保护。例如限制只有获授权人士才可接触保密资料,或接达和使用相关资讯系统及数据、储存于资讯系统的保密资料必须加密等。基于保安考虑,相关的资讯保密分类及保护措施详情不适宜公开。

另一方面,政府资讯科技总监办公室(资科办)亦在《保安规例》的框架下制订了一套详细的《政府资讯科技保安政策及指引》(《政策及指引》),供各部门遵循。《政策及指引》要求各部门明确界定及定期覆检相关资讯系统及数据的接达权限、对使用的加密方式作出技术要求,以及规定部门必须建立资讯保安管理架构以便有效处理保安事宜等。《政策及指引》亦订明各部门必须为其资讯系统及数据保安定期作出独立的保安风险评估和审计,以便强化保安措施。为加强政府对网络风险的最新态势的了解和应对能力,资科办在政府内部推行网络风险资讯共享平台,利用大数据分析技术收集和分析不同来源的网络和数据安全威胁资讯,进行整理及评估,以适时向部门发布网络和数据威胁预警。

根据《政策及指引》的规定,各部门已成立资讯保安事故应变小组以处理其资讯保安事故。《保安规例》及《政策及指引》均参照国际标准制订,并会不时检讨和更新,以应对最新的保安威胁。政府各部门亦必须严格遵循《保安规例》及《政策及指引》,以确保政府资料及资讯系统安全。资科办会定期为各部门进行遵行审计,确保其资讯系统切实遵循相关保安规定。

资科办亦成立了政府内部的电脑保安事故协调中心,协助和协调各部门处理电脑紧急应变及事故的工作。此外,资科办每年亦举办跨部门网络安全演习,以加强政府部门防御和应对网络安全事故的能力。

面对不同行业的重要基础设施所受到的保安风险,香港警务处成立了重要基础设施保安协调中心,透过公私营机构合作、风险管理、现场保安检查、推广复原计划及保安设计,加强这些基础设施的自我保护及自我复原能力。在网络安全方面,警方的网络安全及科技罪案调查科辖下的网络安全中心会适时进行网络威胁的审计及分析,以防止及侦查针对重要基础设施所作的网络攻击,从而为该等设施提供支援。重要基础设施保安协调中心和网络安全中心24小时运作,为本港的重要基础设施提供适切的支援。

与此同时,政府十分重视与国家和国际在网络安全的合作和资讯分享。资科办与国家互联网信息办公室网络安全协调局在二○一六年达成合作共识,加强协调,促进内地与香港在网络安全方面的交流和合作。资科办同时与国家互联网应急中心合作,通过国家信息安全漏洞共享平台,适时获取相关的网络安全漏洞信息及安排预防措施。在国际层面上,资科办与全球主要电脑保安事故应变组织及电脑保安事故协调中心保持紧密联系,以便迅速掌握网络安全信息,适时防范网络攻击。

政府会定期检讨政府现行的资讯保安事故应变及处理的安排,并建议改善措施,以不断更新及加强政府对处理资讯保安和事故的应变能力。