早前由保安局提出的《加強保護關鍵基礎設施電腦系統安全 — 建議立法框架》引起業界熱論,局方預計今年(2024 年)底把相關條例草案提交立法會,估計於 2026 年初生效。作為行業參與者之一,我希望憑藉相關經驗,在此分享數項與課題有關的愚見,讓大家以萬全準備,回應未來的機遇與挑戰。
平衡服務持續與國家安全
擬議條例的推動與實行工作勢在必行,我認為無論是不論規模與營運模式,所有在香港提供必要服務的基礎設施(即能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健及通訊和廣播八個界別),或其他維持重要的社會和經濟活動的基礎設施(例如大型體育及表演場地、科研園區等)的企業,都要為未來的新合規環境做好準備。首先,企業需要明白到保護關鍵基礎設施電腦系統安全的相關擬議條例,其中一個目標是需要維持服務持續同時,亦能回應合規的要求。舉例而言,本地社會與民生事項固然不能停擺,進一步來說與國內政府與工商機構相關的連接,亦應避免出現大規模的故障與停頓。
系統毋須完美 但必須具備復原能力
其次,保護關鍵基礎設施電腦系統安全的另一個重要觀點,其實是容許相關企業系統遭受攻擊,但過程中必須具有復原(Resilience)的本質,負責 IT 管理的部門與團隊,需表現出完整流程處理框架,包括但不限於:如何追蹤網絡攻擊或系統故障?處理事件的方式?以至當中所需回復時間、對外通報的透明度等。
這方面亦要重申,大家毋須視相關立法為洪水猛獸,政府容許與明白世上沒有完美的系統保安手法,原意在推動更安全可靠的數碼經濟社會。保安局在早前收到 53 份諮詢意見書後,亦在 2024 年 10 月提出考慮修訂通報嚴重事故的時限,由本身建議的兩小時內,放寬至 12 小時,而其他事故的時限則放寬至長達 48 小時,亦可見釋出善意的舉動。
提升專業 與監管機構良性互動
最後,我認為最終法例框架在 2026 年正式推出時,無論內容如何被修改,整合 IT 產業生態與同業的參與心態,都會朝著良好方向改善。傳統而言,有部分 IT 團隊會習慣以「人治」的方法管理日常的工作與流程,但當營運複雜度與合規要求日益提升,行業需要流程規管,同時邁向專業化。IT 團隊亦需持續進步,例如取得與資訊安全相關的ISO27001, 與維持品質服務一致性 ISO9001 認證。
此外,未來企業除了要做好系統保安的本份外,亦要持續明白與改進合規的相關工作,過程中需要與監管機構建立良好互動關係,才能以積極的態度讓企業、廠商、政府多方達至「三贏局面」。如果你對相關課題的未來發展方向有任何疑問,亦歡迎與我們的團隊聯絡,大家攜手跨越這項數碼轉型的必然任務。