搜尋語言流動式目錄
政府資訊科技總監辦公室
22-04-2020

立法會七題:政府的資訊保安措施

以下是今日(四月二十二日)在立法會會議上容海恩議員的提問和創新及科技局局長楊偉雄的書面答覆:

問題:

本年二月二十二日,有報章報道一份據稱由行政長官辦公室撰寫並已提交中央的香港抗疫工作報告的內容。鑑於該類文件的性質理應屬高度機密,有市民擔憂政府的資訊保安措施存有嚴重漏洞。就此,政府可否告知本會:

(一)由二○一五年一月至今,政府發現多少宗懷疑有人違反資訊保安相關法例或守則以致資料外洩的事件,並以表逐一列出事件起因(例如資訊系統遭黑客入侵、有人疏忽或故意洩露資料)及其造成的影響,以及政府已採取的跟進措施及其成效;

(二)負責就第(一)項提及的事件進行調查的政府部門和人員的職稱為何、調查工作的詳情和跟進行動,以及調查結果在甚麼情況下會公開;及

(三)會否因應資料外洩事件,對現行資訊保安的措施及機制進行全面檢討;若會,詳情為何;若否,原因為何?

答覆:

主席:

政府一直非常重視資訊及網絡安全。政府資訊科技總監辦公室(資科辦)聯同保安局已就資訊保安事宜制訂一套全面的《政府資訊科技保安政策及指引》,涵蓋管理架構、政策及技術措施,供各局及部門遵守和使用,以妥善保護資訊系統,及避免資料被洩漏予未獲授權人士。制定過程中資科辦參照國際良好作業模式,例如國際標準化組織(ISO)/國際電工委員會(IEC)27001標準。此外,資科辦定期審計各部門遵行的情況,確保其資訊系統和網絡設施符合保安要求。

就問題的各部分,現綜合答覆如下:

由二○一五年一月至今,資科辦共接獲19宗可能涉及政府管有資料外洩的資訊保安事故報告。有關的事故數字分類如下:

資訊保安事故分類 2015 2016 2017 2018 2019 2020
網絡攻擊入侵資訊系統 1 1 - 1 - -
濫用資訊系統或操作失誤 - 2 1 2 1 -
流動裝置或抽取式媒體遺失或被盜 1 1 4 2 1 1
總數: 2 4 5 5 2 1

根據現行的指引,上述事故涉及的資料皆已備份,並適當加密,各部門的運作並沒有因事故而受到影響。

政府建立了一套應變機制及措施處理資訊保安事故,並要求各部門嚴格遵從規定。規定訂明,在發生保安事故時,有關的部門必須向政府資訊保安事故應變辦事處通報及提交資訊保安事故報告,並須就事故迅速展開調查和作出修正。就涉及個人資料的事故,我們亦已通報個人資料私隱專員公署,並通知所有受影響人士和向他們提出適切的資訊保安建議。事故若可能涉及刑事行為,有關部門須通報警方調查。此外,政府人員須嚴格遵守相關法規,包括《官方機密條例》、《保安規例》及《公務員守則》。

資科辦會不時檢討和更新現行指引及程序,並已在二○一九年八月開展新一輪檢討及更新工作,預計在今年內完成。檢討工作將繼續參考最新國際標準及業界良好作業模式,並因應資訊及網絡安全的最新形勢,審視和更新現有的《政府資訊科技保安政策和指引》,以期更有效保障政府的資訊系統及數據安全。