【立法諮詢】政府提出保護關鍵基礎設施 違例機構最高罰500萬
政府建議制定《保障關鍵基礎設施(電腦系統)條例》,提出就保護關鍵基礎設施立法,涵蓋 8 個界別,違反機構最高可判罰港幣 50 萬元至 500 萬元不等。當局將展開為期一個月的諮詢,計劃今年底前將草案提交立法會審議。
根據保安局、政府資訊科技總監辦公室及警務處向立法會提交文件顯示,條例擬涵蓋 8 類必要服務行業,包括能源、資訊科技、銀行和金融服務、海陸空交通、醫療保健、通訊廣播等;另外亦包括大型體育及表演場地、科研園區等。營運者要承擔的部分法定責任主要分三類,包括架構、預防、事故通報及應對。
架構方面
—營運者須在本港設有辦事處
—報告設施的擁有權和營運權變更
—設立電腦系統安全管理部門,由營運者公司專責主管監管
預防方面
— 制定、實施及提交電腦系統安全管理計劃
— 報告「關鍵電腦系統」重大變化,包括設計、配置、安全或運行等
— 每年要做至少一次電腦系統保安風險評估及提交報告,以及至少每兩年要做一次獨立的電腦系統保安審計。
事故通報及應對方面
— 至少每兩年須參與一次由專責辦公室舉行的電腦系統安全演習
— 制定並提交應急計劃
— 兩小時內通報嚴重電腦系統保安事故,其他電腦系統保安事故須在事發後 24 小時內報告
局方建議成立隸屬保安局、具調查權力的專責辦公室,由行政長官委任一名專員帶領,負責監察針對關鍵基礎設施的電腦系統保安威脅,調查及跟進營運者違規情况,並向營運者發指示堵塞保安漏洞等。
保安局強調,立法原意並非為懲罰營運者,受規管的是大機構,中小企及一般市民不受影響,故刑罰會以機構為單位,並按違規的種類處以各級罰款,由 50 萬元至 500 萬元不等。