政府宣布,本周五在憲報刊登《保護關鍵基礎設施(電腦系統)條例草案》,向被指定的關鍵基礎設施營運者施加法定要求,確保它們採取適當措施保護其電腦系統,減低因網絡攻擊導致必要服務被干擾或破壞的可能,從而維持香港社會正常運作和市民正常生活,以及幫助提升香港整體的電腦系統安全。
關鍵基礎設施是維持社會正常運作和市民正常生活必需的設施。保安局指,條例草案下的法定責任分三大類,包括架構責任、預防責任、事故通報及應對責任。關鍵基礎設施營運者須設立專責管理單位,監督其電腦系統的安全,並採取預防措施,加強它們應對網絡攻擊的韌性。
如遇電腦系統安全事故,營運者須向負責執行條例的專責辦公室報告,同時按自身提交的應急計劃採取應對措施,還原系統。有需要時,專責辦公室可提供協助和採取補救措施,以控制問題和減低影響其他關鍵基礎設施的機會。
保安局強調,施加法定責任旨在保障對關鍵基礎設施核心功能至關重要的電腦系統安全,絕非針對個人資料和商業秘密。受規管的關鍵基礎設施營運者多為大機構,且對在香港持續提供必要服務或維持關鍵的社會和經濟活動屬於必要。中小型企業和一般市民不受規管。
當局已參考其他司法管轄區的相關法例,以訂立一套適合香港的監管模式。此外,局方去年開始諮詢不同持份者,至今舉辦逾30場諮詢會,並於今年7月諮詢立法會保安事務委員會,以及展開為期一個月的諮詢。整體而言,持份者及社會對立法反應正面。
《保護關鍵基礎設施(電腦系統)條例草案》本月11日提交至立法會首讀和二讀。
