關鍵基建電腦系統安全立法7月諮詢 違者最高罰款500萬

撰文:鄭寶生
出版:更新:

政府向立法會保安事務委員會提交文件,列出加強保護關鍵基礎設施電腦系統安全的建議立法框架,違者最高罰款500萬元,7月2日諮詢立法會保安事務委員會後,將諮詢業界1個月。

加強保護關鍵基礎設施電腦系統安全的立法框架,將包括鐵路的電腦系統。(資料圖片/夏家朗攝)

涉及銀行、供電、鐵路等基建電腦網絡

關鍵基礎設施是指一些維護社會運作及生活必需的設施,例如銀行、金融機構、通訊網絡、供電設施和鐵路系統等,立法是為了加強這些設施的網絡安全。

政府計劃條例納入8個界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健,以及通訊和廣播。此外,亦建議將大型體育及表演場地、科研園區等納入規管範圍,確保這些地點的電腦系統安全運作。

政府建議,以負責營運上述設施的機構為單位,承擔他們轄下電腦系統的法定安全責任。至於供水、渠務、緊急救援等系統,由於已經有詳細指引,並參照國際標準檢討和更新,政府認為毋須納入新的條例。

+4

營運機構為負責單位 涉及第三方服務亦須負責

擬議的條例下,政府會設立「關鍵基礎設施營運者」名冊,營運者必須向隷屬於保安局的專賣辦公室報告電腦系統保安計劃,亦要報告這些系統的重大變化,並最少每年一次保安風險評估,以及最少兩年一次進行獨立電腦系統保安審計。

營運者至少每兩年一次參加專責辦公室的電腦系統安全演習,並要制訂處理突發事件的應急計劃。若出現保安事件,在得悉事件後24小時內通報,而嚴重影響正常功能的嚴重事件,則要在得悉事件的兩小時內通報。

若營運者不履行法定責任,或不遵從專責辦公室的指示,或者不遵從專責辦公室提交資料的要求,最高可罰款50萬至500萬元,個別罪行持續違法將會額外每日罰款。就算事件涉及第三方服務,營運者仍要為違法行為負責。

政府將於7月2日諮詢立法會保安事務委員會,其後將諮詢業界1個月,並計劃於今年年底前向立法會提交條例草案,目標在立法會通過條例草案後1年內成立專責辦公室,其後半年內條例正式生效。