Contact us:

網絡安全

《保護關鍵基礎設施條例草案》三讀通過 哪類行業會受到影響?

摘要重點

於2025年3月19日正式三讀通過的《保護關鍵基礎設施(電腦系統)條例草案》,將於2026年1月1日正式生效。此條例將顯著影響多個行業。

本文將深入分析條例的主要內容,探討對企業的潛在影響,並提供實用的企業應對策略。

圖片來源:freepik.com

為應對日益嚴峻的網絡安全威脅,香港政府於2025年3月19日三讀通過《保護關鍵基礎設施(電腦系統)條例草案》,並計劃於2026年1月1日正式生效。

透過此條例,政府希望可以加強香港關鍵基礎設施的電腦系統安全能力,並保障城市運作及市民日常生活不受網絡攻擊影響。

何謂「關鍵基礎設施」?

相信對於企業而言,最大問題就是:如何定義「關鍵基礎設施」?

條例採用兩大類別定義關鍵基礎設施:

  1. 提供必要服務的基礎設施:涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播等八個界別。
  2. 維持重要社會和經濟活動的基礎設施:包括大型體育場地、表演場地、科技園區等。

受影響行業種類

1.能源行業

  • 電力公司、燃氣供應商及相關能源基礎設施營運商將受到嚴格監管

  • 能源供應中斷可能對社會造成重大影響

4.交通運輸業

  • 鐵路公司、航空公司及公共交通營運商等皆被納入監管範圍

  • 隨著交通系統日益智能化和網絡化,其安全風險也相應增加

  • 立法會議員林新強於三讀中提到:駭客可能遙控無人駕駛車輛引致嚴重交通意外

2.資訊科技與通訊行業

  • 互聯網服務供應商、數據中心營運商、雲服務提供商以及電信公司將受到重點監管

  • 電訊公司中國移動香港已表示支持草案,認為這有助於建立良好的防範管理體系

5.醫療保健行業

  • 公私營醫院、醫療資訊系統營運商及醫藥供應鏈企業將需加強其電腦系統安全

  • 醫療服務的持續性和醫療數據的安全對公共健康至關重要

3. 金融服務業

  • 銀行、證券交易所、支付系統營運商以及其他金融機構的電腦系統安全將面臨更嚴格的要求

  • 作為國際金融中心,香港的金融基礎設施安全對全球金融穩定至關重要

6. 大型公共設施

  • 大型體育場地、會展中心、科技園區等需要維持重要社會和經濟活動的基礎設施營運者同樣需要遵守條例要求


企業現在就應該未雨綢繆

保安局局長鄧炳強表示,政府將在條例生效前成立專責辦公室,由隸屬保安局的專員與數字政策辦公室和警務處的專家共同負責制定《實務守則》,並在半年內開始分階段指定營運者及系統。該辦公室將監察針對關鍵基礎設施的電腦系統安全威脅,調查電腦系統安全事故,並為營運者提供相關指引

圖片來源:立法會 www.legco.gov.hk

即使您的企業尚未被正式指定為關鍵基礎設施營運者,提前準備仍然至關重要:

  1. 避免高昂罰款條例生效後未能合規的話,可能面臨50萬至500萬港元不等的罰款

  2. 保持競爭優勢網絡安全能力已成為客戶和合作夥伴選擇服務提供商的重要考量因素

  3. 降低業務中斷風險提升安全能力不僅是合規要求,更能有效防止網絡攻擊導致的業務中斷和聲譽損失

面對即將來臨的挑戰,可能受影響的企業應及早準備,採取以下策略:

1. 評估合規狀態

2. 建立專業團隊

  • 進行全面風險評估

    • 對現有電腦系統和網絡安全措施進行徹底審查

  • 確認是否符合條例定義

    • 評估貴企業是否可能被納入「關鍵基礎設施營運者」範疇

  • 參考《實務守則》

    • 密切關注政府即將發佈的詳細指引

  • 設立電腦系統安全部門

    • 根據條例要求建立專門負責網絡安全的部門

  • 培訓專業人才

    • 投資於網絡安全專業人才的培訓和發展

    • 可考慮使用如alfacloud的ALFARIA網安演練平台

      • 為團隊提供專業網絡安全課程,包括模擬攻防戰和技能評估

      • 確保團隊始終掌握最新的安全知識和技能

  • 採用HR系統

    • 可考慮利用alfaCloud的人力資源管理系統

      • 追蹤安全專業人員的培訓進度和認證情況,確保團隊具備所需技能

      • 系統的審批流程和權限管理功能也能協助確保人員調動和關鍵崗位任命符合安全規範

  • 聘請合規顧問

    • 考慮聘請具備相關經驗的顧問協助完成合規流程

3. 強化安全基礎設施

4. 制定管理計劃與演練

  • 更新關鍵系統

    • 確保所有系統獲得最新安全更新

  • 實施多層防禦

    • 採用多重安全措施保護關鍵系統

  • 強化身份認證

    • 實施強大的多因素認證系統防止未授權訪問

    • 使用如alfaCloud的iKLAS智能鎖匙管理系統

      • 嚴格控制對關鍵設施的實體訪問

      • 透過多重權限控制和實時監控,確保只有授權人員才能接觸關鍵基礎設施,並自動記錄所有訪問活動,提供完整的審計追蹤。

  • 制定保安管理計劃

    • 按條例要求制定全面的電腦系統安全管理計劃

  • 開展定期演習

    • 按條例要求,至少每兩年參與一次保安演習,測試系統防禦能力

  • 建立應急響應程序

    • 制定詳細的網絡事故應急計劃

5. 建立匯報機制

6. 第三方關係管理

  • 設立內部報告流程

    • 確保能夠及時發現並報告安全事故和系統重大變化

  • 與監管機構保持溝通

    • 建立與專責辦公室的有效溝通渠道

  • 準備合規報告

    • 建立機制以便定期向管理層和監管機構提交合規報告

  • 審核第三方供應商

    • 仔細評估所有第三方服務供應商的安全標準

  • 修訂合約條款

    • 在合約中明確網絡安全責任和義務

  • 持續監控

    • 定期審核第三方服務供應商的安全表現,牢記「工作外判、責任不可外判」的原則


常見問題 FAQ

結語

隨著條例的逐步實施,企業若能提前做好準備,不僅可以避免可能的罰則(50萬至500萬港元不等),更能在日益複雜的網絡威脅環境中保持競爭優勢

 

透過與專業服務提供商合作,企業可以獲得符合《保護關鍵基礎設施條例》要求的整合式安全解決方案,從智能鎖匙管理、人員培訓到系統監控,全方位提升網絡安全防護能力,迅速應對新的合規要求。

 

如果你想要了解更多有關資訊,可以透過下方橙色按鈕與我們alfaCloud聯繫,獲取最適合你的企業的解決方案!

Views: 269

Lee Pui Leong Benedict

Recent Posts

調查指企業員工培訓開支創疫後新高 去年人均培訓17.3小時

調查指企業員工培訓開支創疫後新...

4 個月 ago

Contact us (Hubspot)

聯絡我們 Contact us...

4 個月 ago

餐飲業數碼轉型

餐飲業的數碼轉型 在香港經濟面...

4 個月 ago

香港數碼競爭力排名上升 企業應積極擁抱數碼轉型

香港數碼競爭力排名上升 企業應...

4 個月 ago