政府层面的资讯及网络安全
资讯保安是关于资讯的保护,不论是数码形式、储存在电脑内,还是通过网络传输的资讯。随着资讯及通讯科技的迅速发展,香港在经济发展、创业、商业运作和日常生活上日益依赖互联网、电讯基础设施及智能装置。资讯保安问题和网络环境的风险对企业和个人会构成各种影响。
政府资讯科技总监办公室十分重视加强政府的资讯及网络安全,并广泛地加深社会对资讯及网络安全的认知和准备。
信息安全管理架构
政府非常重视资讯保安和保护政府的资讯及电脑资产。在提供电子服务的过程中,资讯系统及通讯网络即使不是不可或缺,也已成为至关重要的一环。这些设备的保安大大影响其可靠性、可用性和提供服务的能力。自2000年起,政府内部成立了信息安全管理委员会及信息技术安全工作小组,以监督整个政府内部的资讯科技保安工作。
在部门层面,各部门会委任一位高级人员,作为部门信息技术安全主任,领导该部门的整体资讯保安管理。各部门亦会设立包括管理和技术人员在内的信息安全事故应变小组处理日常所有事项,以准备、侦测和应对所有资讯保安事件及事故。
政府信息技术安全政策及指南
政府资讯科技总监办公室已制定和维持一套全面的资讯科技保安政策、标准、指引、程序及相关实务指引,以供政府各政策局、部门及有关机构(下称「局/部门」)使用。这些文件包括《基准信息技术安全政策》、《信息技术安全指南》、《安全风险评估及审计实务指南》和《信息安全事故处理实务指南》。这些程序和指引是參考国际标准、业界良好作业模式和专业资源而制定,而且不时检讨,以应对新兴技术带来的安全威胁演变的挑战。这些文件在组织、管理、技术及程序各方面提供相当详尽的资料,让各局及部门可按之自行建立资讯保安架构和作业模式。此外,政府资讯科技总监办公室亦举办各种培训课程和推广活动,以及通过不同途径,为各局及部门提供良好作业模式及有关资讯保安的最新资讯。
 《基准信息技术安全政策》(S17) |
| 本文件概述为保护政府内部信息系统及数据资产而订定的强制性基本保安要求。 |
| 《信息技术安全指南》(G3) |
| 本文件阐释对《基准信息技术安全政策》的要求及制定相关的实施标准。 |
| 《安全风险评估及审计实务指南》(ISPG-SM01) |
| 本文件为政府的安全风险评估及审计工作提供实务指南和参考。 |
| 《信息安全事故处理实务指南》(ISPG-SM02) |
| 本文件为在政府內处理信息安全事故提供实务指南和参考。 |
| 《流动安全实务指南》(ISPG-SM03) |
| 本文件为在政府内安全使用流动装置及开发流动应用程序提供实务指南和参考。 |
| 《云端运算安全实务指南》(ISPG-SM04) |
| 本文件为在政府内安全采用云端运算技术提供实务指南和参考。 |
| 《物联网安全实务指南》 |
| 本文件为在政府内安全采用物联网技术提供实务指南和参考。 |
| 《社交媒体安全实务指南》 |
| 本文件为在政府内安全管理及使用社交媒体提供实务指南和参考。 |
| 《Wi-Fi安全实务指南》 |
| 本文件为在政府内安全设计、管理和操作Wi-Fi网络提供实务指南和参考。 |
安全事故管理
我们采用「预防、侦测、应变和复原」的原则, 并推行适当的保安控制和措施,以确保业务交易和资讯的完整性,防范各种网络攻击,例如电脑蠕虫和病毒、恶意软件、滥发电子邮件、仿冒诈骗、分散式阻断服务攻击、黑客及电脑罪案。我们对技术性和程序上的控制措施定期进行保安风险评估和审计,以确保这些预防措施能够配合科技的发展、业界的良好作业模式,以及系统、网络或组织环境的改变。
 |
政府资讯科技总监办公室积极采取措施,应对各种与资讯科技保安及网络攻击有关的威胁,包括持续监察与资讯科技相关的保安漏洞及威胁,向各局及部门发出保安警报和提供技术支援,以处理资讯保安事件及事故。随着互联网出现和网络攻击不断增加的趋势,我们与本地相关持份者、全球的电脑紧急事故应变小组及国际资讯保安组织的更紧密合作,变得更为必要及频繁。
在2015年,我们成立政府电脑保安事故协调中心(GovCERT.HK, www.govcert.gov.hk),集中处理协调资讯及网络安全事故的工作,并负责与其他电脑紧急事故应变小组合作。GovCERT.HK是为政府资讯科技管理人员及用户而设的协调中心,负责有关电脑紧急应变和事故处理的工作。在本地方面,GovCERT.HK会与香港电脑保安事故协调中心(HKCERT, www.hkcert.org)紧密合作,处理影响私营机构及市民的资讯保安威胁及事故。在国际方面,GovCERT.HK会与其他政府和地区的电脑紧急事故应变小组及国际组织合作,促进资讯及知识交流,以减少保安漏洞,减低风险,并处理威胁及攻击。
政府电脑保安事故协调中心年报:
www.govcert.gov.hk/sc/annualreport.html
