政府層面的資訊及網絡安全
資訊保安是關於資訊的保護,不論是數碼形式、儲存在電腦內,還是通過網絡傳輸的資訊。隨着資訊及通訊科技的迅速發展,香港在經濟發展、創業、商業運作和日常生活上日益依賴互聯網、電訊基礎設施及智能裝置。資訊保安問題和網絡環境的風險對企業和個人會構成各種影響。
政府資訊科技總監辦公室十分重視加強政府的資訊及網絡安全,並廣泛地加深社會對資訊及網絡安全的認知和準備。
資訊保安管理架構
政府非常重視資訊保安和保護政府的資訊及電腦資產。在提供電子服務的過程中,資訊系統及通訊網絡即使不是不可或缺,也已成為至關重要的一環。這些設備的保安大大影響其可靠性、可用性和提供服務的能力。自2000年起,政府內部成立了資訊保安管理委員會及資訊科技保安工作小組,以監督整個政府內部的資訊科技保安工作。
在部門層面,各部門會委任一位高級人員,作為部門資訊科技保安主任,領導該部門的整體資訊保安管理。各部門亦會設立包括管理和技術人員在內的資訊保安事故應變小組處理日常所有事項,以準備、偵測和應對所有資訊保安事件及事故。
政府資訊科技保安政策及指引
政府資訊科技總監辦公室已制定和維持一套全面的資訊科技保安政策、標準、指引、程序及相關實務指引,以供政府各政策局、部門及有關機構(下稱「局/部門」)使用。這些文件包括《基準資訊科技保安政策》、《資訊科技保安指引》、《保安風險評估及審計實務指引》和《資訊保安事故處理實務指引》。這些程序和指引是參考國際標準、業界良好作業模式和專業資源而制定,而且不時檢討,以應對新興技術帶來的安全威脅演變的挑戰。這些文件在組織、管理、技術及程序各方面提供相當詳盡的資料,讓各局及部門可按之自行建立資訊保安架構和作業模式。此外,政府資訊科技總監辦公室亦舉辦各種培訓課程和推廣活動,以及通過不同途徑,為各局及部門提供良好作業模式及有關資訊保安的最新資訊。
 《基準資訊科技保安政策》(S17) |
| 本文件概述為保護政府內部資訊系統及數據資產而訂定的強制性基本保安要求。 |
| 《資訊科技保安指引》(G3) |
| 本文件闡釋對《基準資訊科技保安政策》的要求及制定相關的實施標準。 |
| 《保安風險評估及審計實務指引》(ISPG-SM01) |
| 本文件為政府的保安風險評估及審計工作提供實務指引和參考。 |
| 《資訊保安事故處理實務指引》(ISPG-SM02) |
| 本文件為在政府內處理資訊保安事故提供實務指引和參考。 |
| 《流動保安實務指引》(ISPG-SM03) |
| 本文件為在政府內安全使用流動裝置及開發流動應用程式提供實務指引和參考。 |
| 《雲端運算保安實務指引》(ISPG-SM04) |
| 本文件為在政府內安全採用雲端運算技術提供實務指引和參考。 |
| 《物聯網保安實務指引》 |
| 本文件為在政府內安全採用物聯網技術提供實務指引和參考。 |
| 《社交媒體保安實務指引》 |
| 本文件為在政府內安全管理及使用社交媒體提供實務指引和參考。 |
| 《Wi-Fi保安實務指引》 |
| 本文件為在政府內安全設計、管理和操作Wi-Fi網絡提供實務指引和參考。 |
保安事故管理
我們採用「預防、偵測、應變和復原」的原則, 並推行適當的保安控制和措施,以確保業務交易和資訊的完整性,防範各種網絡攻擊,例如電腦蠕蟲和病毒、惡意軟件、濫發電子郵件、仿冒詐騙、分散式阻斷服務攻擊、黑客及電腦罪案。我們對技術性和程序上的控制措施定期進行保安風險評估和審計,以確保這些預防措施能夠配合科技的發展、業界的良好作業模式,以及系統、網絡或組織環境的改變。
 |
政府資訊科技總監辦公室積極採取措施,應對各種與資訊科技保安及網絡攻擊有關的威脅,包括持續監察與資訊科技相關的保安漏洞及威脅,向各局及部門發出保安警報和提供技術支援,以處理資訊保安事件及事故。隨着互聯網出現和網絡攻擊不斷增加的趨勢,我們與本地相關持份者、全球的電腦緊急事故應變小組及國際資訊保安組織的更緊密合作,變得更為必要及頻繁。
在2015年,我們成立政府電腦保安事故協調中心(GovCERT.HK, www.govcert.gov.hk),集中處理協調資訊及網絡安全事故的工作,並負責與其他電腦緊急事故應變小組合作。GovCERT.HK是為政府資訊科技管理人員及用戶而設的協調中心,負責有關電腦緊急應變和事故處理的工作。在本地方面,GovCERT.HK會與香港電腦保安事故協調中心(HKCERT, www.hkcert.org)緊密合作,處理影響私營機構及市民的資訊保安威脅及事故。在國際方面,GovCERT.HK會與其他政府和地區的電腦緊急事故應變小組及國際組織合作,促進資訊及知識交流,以減少保安漏洞,減低風險,並處理威脅及攻擊。
政府電腦保安事故協調中心年報:
www.govcert.gov.hk/tc/annualreport.html
