早前由保安局提出的《加强保护关键基础设施电脑系统安全 — 建议立法框架》引起业界热论,局方预计今年(2024 年)底把相关条例草案提交立法会,估计于 2026 年初生效。作为行业参与者之一,我希望凭借相关经验,在此分享数项与课题有关的愚见,让大家以万全准备,回应未来的机遇与挑战。
平衡服务持续与国家安全
拟议条例的推动与实行工作势在必行,我认为无论是不论规模与营运模式,所有在香港提供必要服务的基础设施(即能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、医疗保健及通讯和广播八个界别),或其他维持重要的社会和经济活动的基础设施(例如大型体育及表演场地、科研园区等)的企业,都要为未来的新合规环境做好准备。首先,企业需要明白到保护关键基础设施电脑系统安全的相关拟议条例,其中一个目标是需要维持服务持续同时,亦能回应合规的要求。举例而言,本地社会与民生事项固然不能停摆,进一步来说与国内政府与工商机构相关的连接,亦应避免出现大规模的故障与停顿。
系统毋须完美 但必须具备复原能力
其次,保护关键基础设施电脑系统安全的另一个重要观点,其实是容许相关企业系统遭受攻击,但过程中必须具有复原(Resilience)的本质,负责 IT 管理的部门与团队,需表现出完整流程处理框架,包括但不限于:如何追踪网络攻击或系统故障?处理事件的方式?以至当中所需回复时间、对外通报的透明度等。
这方面亦要重申,大家毋须视相关立法为洪水猛兽,政府容许与明白世上没有完美的系统保安手法,原意在推动更安全可靠的数码经济社会。保安局在早前收到 53 份咨询意见书后,亦在 2024 年 10 月提出考虑修订通报严重事故的时限,由本身建议的两小时内,放宽至 12 小时,而其他事故的时限则放宽至长达 48 小时,亦可见释出善意的举动。
提升专业 与监管机构良性互动
最后,我认为最终法例框架在 2026 年正式推出时,无论内容如何被修改,整合 IT 产业生态与同业的参与心态,都会朝着良好方向改善。传统而言,有部分 IT 团队会习惯以「人治」的方法管理日常的工作与流程,但当营运复杂度与合规要求日益提升,行业需要流程规管,同时迈向专业化。 IT 团队亦需持续进步,例如取得与资讯安全相关的ISO27001, 与维持品质服务一致性 ISO9001 认证。
此外,未来企业除了要做好系统保安的本份外,亦要持续明白与改进合规的相关工作,过程中需要与监管机构建立良好互动关系,才能以积极的态度让企业、厂商、政府多方达至「三赢局面」。如果你对相关课题的未来发展方向有任何疑问,亦欢迎与我们的团队联络,大家携手跨越这项数码转型的必然任务。
