立法會一題：加強資訊保安

以下是今日（五月二十五日）在立法會會議上吳傑莊議員的提問和創新及科技局局長薛永恒的答覆：

問題：

據報，由於地緣政治變化，某些外國政府動輒向中國政府實施制裁，包括切斷向中國出口及禁止中國使用某些科技產品，更有西方國家的黑客伺機向中國發動網絡攻擊，企圖影響中國政府及相關機構的運作，而香港亦有可能受到影響。關於加強本港的資訊保安，政府可否告知本會：

（一）有否評估，上述就科技產品施加的限制及網絡攻擊，對各政府部門的資訊保安（包括電腦系統及應用程式）的影響，以及有何方案加強各政府部門的資訊系統保安及事故應變的能力，以確保其運作及服務不受影響；

（二）如何偵測及堵截外國黑客針對各政府部門電腦系統的入侵和攻擊，以及會否制訂有關的管理、技術及保安機制；及

（三）鑑於網絡攻擊可能會破壞關鍵資訊基礎設施的運作，對市民日常生活造成混亂及帶來經濟影響，政府會否規管這些設施的網絡安全標準，以及要求設施的營運者承擔更大的網絡安全責任？

答覆：

主席：

非常感謝吳傑莊議員的提問。政府十分重視資訊保安，當中包括網絡安全。我們透過多管齊下的策略應對資訊保安事宜，減低網絡威脅帶來的風險。政府各決策局／部門積極推行多重保安措施，從而做好監測、偵察及堵截資訊系統及網絡可能受到的惡意攻擊，並及早採取相關措施，維護政府系統及數據的安全。我們亦與相關機構和部門緊密協作，提升香港整體應對網絡攻擊的防衞和復原能力，致力構建香港成為一個安全穩妥的智慧城市。

就吳議員的提問，經諮詢保安局，我現回覆如下：

（一）及（二）政府一直密切留意及監察國際上網絡攻擊的趨勢及有關的安全威脅，以確保政府的系統和服務可持續正常運作。

政府部門在採購資訊科技設備產品時，除了考慮產品的功能和兼容性，亦非常重視相關的安全標準，以及供應商提供的支援服務。此外，就管理可能對科技產品施加限制的風險，我們亦提醒部門應從不同來源採購資訊科技及通訊產品。

面對全球有針對性和有組織的網絡攻擊，政府資訊科技總監辦公室（資科辦）已制訂了一套詳盡的《政府資訊科技保安政策及指引》（《政策及指引》），並且參照最新國際標準及業界良好作業模式定期檢討和更新。政府各決策局／部門必須嚴格遵循《政策及指引》，以確保政府資料及資訊系統安全。資科辦亦會定期為各決策局／部門進行遵行審計，確保其資訊系統切實遵循相關保安規定。

在技術層面，政府從整體的資訊保安措施着手，應對各類型的網絡安全威脅。政府在二○二○年九月推出新一代政府私有雲端基建平台，透過採用最新的雲端技術，為各部門的數碼政府服務提供了一個更安全、穩妥及可擴展的基礎設施，平台至今已支援超過350項數碼政府服務。現時，政府的網站及系統均已採用多層保安措施，包括資料加密、防火牆、內容傳遞網絡、抵禦分散式阻斷服務攻擊的清洗功能、入侵偵測及防禦系統、抗惡意軟件、端點保護方式、實時監測工具等，從而偵察、堵截和抵禦各式各樣的保安威脅。此外，政府亦採用垃圾郵件過濾系統，以抵禦惡意電郵攻擊。

另一方面，為有效應對緊急事故，資科辦成立了政府電腦保安事故協調中心，協助和協調各部門處理電腦緊急應變及事故的工作。資科辦每年亦舉辦跨部門網絡安全演習，以加強政府各個部門防禦和應對網絡安全事故的能力。

與此同時，政府十分重視與內地和其他地區在網絡安全的合作和資訊分享，以便迅速及時應對網絡安全威脅。資科辦亦已加入全球保安事故協調中心組織和亞太區電腦保安事故協調組織等，並與國家互聯網應急中心保持緊密交流合作及通報網絡安全情報，同時亦積極參與這些組織舉辦的相關活動。

（三）安全的營商環境對於促進經濟發展及繁榮穩定十分重要。關鍵基礎設施對社會正常運作具有重要意義。它們的資訊系統、資訊網絡或電腦系統一旦受到擾亂、破壞，可能會影響主要設施的正常運作，嚴重危害社會經濟、民生、公共安全以至國家安全。

近年網絡攻擊增加，對世界各地關鍵基礎設施的網絡安全帶來重大挑戰。現時，香港並未有針對關鍵基礎設施網絡安全的特定法例要求。因此，除了業界的良好作業指引，以及個別規管當局就網絡安全的指引和規定外，政府現正進行準備工作，透過立法方式清晰訂定關鍵基礎設施營運者的網絡安全責任，加強香港關鍵基礎設施的網絡安全。在制訂相關的網絡安全標準時，亦會參考其他司法管轄區及國際間採用的標準。政府計劃於今年底就立法建議進行公眾諮詢。

在此再次感謝吳傑莊議員的提問，期待與議會的同事多交流、多合作，共同推進加強香港的資訊保安。多謝主席。

完