《保護關鍵基礎設施條例草案》三讀通過 哪類行業會受到影響?

發佈於

摘要重點

於2025年3月19日正式三讀通過的《保護關鍵基礎設施(電腦系統)條例草案》,將於2026年1月1日正式生效。此條例將顯著影響多個行業。

本文將深入分析條例的主要內容,探討對企業的潛在影響,並提供實用的企業應對策略。

 

圖片來源:freepik.com

為應對日益嚴峻的網絡安全威脅,香港政府於2025年3月19日三讀通過《保護關鍵基礎設施(電腦系統)條例草案》,並計劃於2026年1月1日正式生效。

透過此條例,政府希望可以加強香港關鍵基礎設施的電腦系統安全能力,並保障城市運作及市民日常生活不受網絡攻擊影響。

何謂「關鍵基礎設施」? 

相信對於企業而言,最大問題就是:如何定義「關鍵基礎設施」?

條例採用兩大類別定義關鍵基礎設施:

  1. 提供必要服務的基礎設施:涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播等八個界別。
  2. 維持重要社會和經濟活動的基礎設施:包括大型體育場地、表演場地、科技園區等。

受影響行業種類

1.能源行業

  • 電力公司、燃氣供應商及相關能源基礎設施營運商將受到嚴格監管

  • 能源供應中斷可能對社會造成重大影響

4.交通運輸業

  • 鐵路公司、航空公司及公共交通營運商等皆被納入監管範圍

  • 隨著交通系統日益智能化和網絡化,其安全風險也相應增加

  • 立法會議員林新強於三讀中提到:駭客可能遙控無人駕駛車輛引致嚴重交通意外

2.資訊科技與通訊行業

  • 互聯網服務供應商、數據中心營運商、雲服務提供商以及電信公司將受到重點監管

  • 電訊公司中國移動香港已表示支持草案,認為這有助於建立良好的防範管理體系

5.醫療保健行業

  • 公私營醫院、醫療資訊系統營運商及醫藥供應鏈企業將需加強其電腦系統安全

  • 醫療服務的持續性和醫療數據的安全對公共健康至關重要

3. 金融服務業

  • 銀行、證券交易所、支付系統營運商以及其他金融機構的電腦系統安全將面臨更嚴格的要求

  • 作為國際金融中心,香港的金融基礎設施安全對全球金融穩定至關重要

6. 大型公共設施

  • 大型體育場地、會展中心、科技園區等需要維持重要社會和經濟活動的基礎設施營運者同樣需要遵守條例要求

企業現在就應該未雨綢繆

保安局局長鄧炳強表示,政府將在條例生效前成立專責辦公室,由隸屬保安局的專員與數字政策辦公室和警務處的專家共同負責制定《實務守則》,並在半年內開始分階段指定營運者及系統。該辦公室將監察針對關鍵基礎設施的電腦系統安全威脅,調查電腦系統安全事故,並為營運者提供相關指引

圖片來源:立法會 www.legco.gov.hk

即使您的企業尚未被正式指定為關鍵基礎設施營運者,提前準備仍然至關重要:

  1. 避免高昂罰款條例生效後未能合規的話,可能面臨50萬至500萬港元不等的罰款

  2. 保持競爭優勢網絡安全能力已成為客戶和合作夥伴選擇服務提供商的重要考量因素

  3. 降低業務中斷風險提升安全能力不僅是合規要求,更能有效防止網絡攻擊導致的業務中斷和聲譽損失

面對即將來臨的挑戰,可能受影響的企業應及早準備,採取以下策略:

1. 評估合規狀態

2. 建立專業團隊

  • 進行全面風險評估

    • 對現有電腦系統和網絡安全措施進行徹底審查

  • 確認是否符合條例定義

    • 評估貴企業是否可能被納入「關鍵基礎設施營運者」範疇

  • 參考《實務守則》

    • 密切關注政府即將發佈的詳細指引

  • 設立電腦系統安全部門

    • 根據條例要求建立專門負責網絡安全的部門

  • 培訓專業人才

    • 投資於網絡安全專業人才的培訓和發展

    • 可考慮使用如alfacloud的ALFARIA網安演練平台

      • 為團隊提供專業網絡安全課程,包括模擬攻防戰和技能評估

      • 確保團隊始終掌握最新的安全知識和技能

  • 採用HR系統

    • 可考慮利用alfaCloud的人力資源管理系統

      • 追蹤安全專業人員的培訓進度和認證情況,確保團隊具備所需技能

      • 系統的審批流程和權限管理功能也能協助確保人員調動和關鍵崗位任命符合安全規範

  • 聘請合規顧問

    • 考慮聘請具備相關經驗的顧問協助完成合規流程

3. 強化安全基礎設施

4. 制定管理計劃與演練

  • 更新關鍵系統

    • 確保所有系統獲得最新安全更新

  • 實施多層防禦

    • 採用多重安全措施保護關鍵系統

  • 強化身份認證

    • 實施強大的多因素認證系統防止未授權訪問

    • 使用如alfaCloud的iKLAS智能鎖匙管理系統

      • 嚴格控制對關鍵設施的實體訪問

      • 透過多重權限控制和實時監控,確保只有授權人員才能接觸關鍵基礎設施,並自動記錄所有訪問活動,提供完整的審計追蹤。

  • 制定保安管理計劃

    • 按條例要求制定全面的電腦系統安全管理計劃

  • 開展定期演習

    • 按條例要求,至少每兩年參與一次保安演習,測試系統防禦能力

  • 建立應急響應程序

    • 制定詳細的網絡事故應急計劃

5. 建立匯報機制

6. 第三方關係管理

  • 設立內部報告流程

    • 確保能夠及時發現並報告安全事故和系統重大變化

  • 與監管機構保持溝通

    • 建立與專責辦公室的有效溝通渠道

  • 準備合規報告

    • 建立機制以便定期向管理層和監管機構提交合規報告

  • 審核第三方供應商

    • 仔細評估所有第三方服務供應商的安全標準

  • 修訂合約條款

    • 在合約中明確網絡安全責任和義務

  • 持續監控

    • 定期審核第三方服務供應商的安全表現,牢記「工作外判、責任不可外判」的原則
ALFARIA網安演練平台
人力資源管理系統
iKLAS智能鎖匙管理系統

常見問題 FAQ

點擊打開

Q:我的企業是否會被納入「關鍵基礎設施營運者」範疇?

A:判斷標準主要看您的企業是否對維持香港社會正常運作和必要服務提供至關重要。條例主要針對能源、資訊科技、金融服務、交通運輸、醫療保健及大型公共設施等六大界別的大型機構,中小企業一般不會受到直接影響。若您的企業在這些領域中扮演關鍵角色,建議及早評估並諮詢專業顧問。


Q:條例生效後,關鍵基礎設施營運者需要承擔哪些法定責任?

A:根據條例,關鍵基礎設施營運者需承擔三大類法定責任:架構責任(設立專責管理單位)、預防責任(採取措施加強應對網絡攻擊的韌性)和事故通報及應對責任(向專責辦公室報告並採取應對措施)。具體標準將由政府即將發佈的《實務守則》詳細說明。


Q:未能符合條例要求的企業將面臨哪些處罰?

A:違反條例的企業可能面臨50萬至500萬港元不等的罰款。除經濟損失外,不合規還可能導致企業聲譽受損、客戶流失和業務中斷等嚴重後果。預防永遠比補救更省錢更有效。


Q:什麼是「關鍵電腦系統」?如何確認我們的系統是否會被納入監管?

A:「關鍵電腦系統」是指對關鍵基礎設施的核心功能至關重要的電腦系統。判斷標準主要看系統是否直接支持關鍵服務的提供,以及系統受到攻擊後會否造成重大社會影響。根據保安局局長鄧炳強,政府將在半年內開始逐步分階段指定關鍵基礎設施營運者及其關鍵電腦系統。


Q:我們現有的網絡安全措施是否足以滿足新條例的要求?

A:這取決於您現有措施的完善程度。建議企業進行全面的差距分析,評估現有安全措施與條例要求之間的差距。關鍵考量因素包括是否有專責管理單位、是否定期進行風險評估和保安演習、是否有完善的事故響應機制等。


Q:條例是否有域外效力?位於香港境外的系統是否受監管?

A:條例本身沒有域外效力,政府不可在香港境外執行相關條文。但如果位於境外的系統由香港的關鍵基礎設施營運者使用並支持其核心功能,且營運者能從香港境內接達該系統,則該系統仍可能受到條例規管。

結語

隨著條例的逐步實施,企業若能提前做好準備,不僅可以避免可能的罰則(50萬至500萬港元不等),更能在日益複雜的網絡威脅環境中保持競爭優勢

 

透過與專業服務提供商合作,企業可以獲得符合《保護關鍵基礎設施條例》要求的整合式安全解決方案,從智能鎖匙管理、人員培訓到系統監控,全方位提升網絡安全防護能力,迅速應對新的合規要求。

 

如果你想要了解更多有關資訊,可以透過下方橙色按鈕與我們alfaCloud聯繫,獲取最適合你的企業的解決方案!

聯絡我們

Views: 280