資科辦:高危項目推出前先做安全測試
模擬入侵攻擊演練助堵漏 評估應對網絡攻擊偵測及復原力
針對近期接連有政府部門電腦系統故障及資料外洩事故,香港特區政府資訊科技總監辦公室(資科辦)日前再次向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施並最遲於今天(13日)回覆確定。資科辦昨日以書面方式接受香港文匯報訪問時強調,所有政府部門均須採取風險為本的原則,持續為其資訊系統識別保安風險,包括定期進行獨立的資訊保安風險評估及改善現行保安措施,確保相關與時並進,有效應對最新網絡風險,以保障政府資訊系統的安全。資科辦又指,會在大型及高風險資訊科技項目推出前安排額外的獨立網絡安全測試,例如透過模擬入侵攻擊演練,以協助各政策局及部門及早發現和修補相關系統漏洞,並評估系統在應對網絡攻擊時的偵測及復原能力。 ◆香港文匯報記者 聶曉輝
資科辦表示,高度關注近期接連有政府部門出現資訊保安事故,尤其涉及洩露個人資料,有關部門正全力與服務供應商跟進調查,全面檢視事件及進一步加強保護措施,以防止同類事件發生。
要求部門檢視資訊保安措施
除了向相關部門提供技術支援,資科辦已再次向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施,同時提醒其轄下所有系統和用戶必須嚴格遵守政府資訊保安規例、政策及指引處理敏感及個人資料,不可儲存於公有雲平台上。
被問到有立法會議員批評資科辦有將事故的責任推給部門之嫌,又指資科辦常作為「旁觀者」的角色,實應肩負更大責任時,資科辦回應指,資訊科技系統作為部門運作及服務的主要組成部分,各決策局及部門對系統及相關服務質素和運作的責任至為重要,決策局及部門的管理層應加強對其資訊科技系統的管理和監督。而隨着政府全力推進服務電子化,各部門亦需確保其電子政府服務及資訊系統運作暢順,符合市民的期望,「不單需要從系統設計及工作流程方面以服務對象為本,亦要顧及技術細節、治理及安全性。」
資科辦表示,根據《政府資訊科技保安政策及指引》,各部門須按規定發布本身的資訊科技保安政策,並須建立一套政策發布機制,以確保所有人員、功能組別及管理層均能輕易得知有關政策,以便履行職務及切合遵守政府的保安要求。
為確保政府資訊保安標準緊隨國家和國際最新的發展,資科辦已於上月發布新修訂的指引,加強了不同領域的資訊保安控制措施,包括資訊保安事故通報機制,同時亦提升對政府資訊系統安全的等級保護,要求政府部門必須採用以風險為本評估系統安全的等級,並根據分級實施相關等級保安控制措施,以期更有效保障政府的資訊系統及數據安全。
資科辦表示,會向部門提供技術支援,包括政府私有雲端平台,通過中央互聯網通訊閘接達互聯網,採用多層網絡安全保安技術、防火牆、入侵偵測和應變系統等。
獨立資訊保安審計擬下半年展開
而為確保各部門嚴格執行政府的保安規定,並提供建議協助它們持續優化保安管理系統以應對新的保安威脅,資科辦稱一直以來均有為各部門展開以風險為本為原則、針對較大型項目的獨立資訊保安進行審計,對上一輪審計已於今年3月完成。資科辦表示,計劃於今年下半年展開新一輪的審計,以確保各部門遵從政府保安規定。
被問到來有何針對電腦系統故障及資料外洩事故的改善方向時,資科辦表示,會在大型及高風險資訊科技項目推出前安排額外的獨立網絡安全測試,例如透過模擬入侵攻擊演練,以協助各部門及早發現和修補相關系統漏洞,並評估系統在應對網絡攻擊時的偵測及復原能力。
資科辦亦正就成立數字政策辦公室徵詢立法會意見及徵求所需的批准,預計新辦公室於今年年中成立。該辦公室除了會繼續承擔資科辦現行的職能工作,並會強化督導職能,冀能引領各部門在進一步推行電子政務方面能適切回應社會的需求和期望。
