政府資料屢外洩 擬加強監督承辦商
立法會人事編制小組委員會昨日(29日)通過決議成立數字政策辦公室,並於今年7月25日或財務委員會批准當日起生效。創新科技及工業局局長孫東表示,將加強對政府電子系統的監管,例如在系統規劃階段適當介入及作初步審核等。
特區政府將推出一系列網絡安全措施,包括恒常抽查部門網絡系統,安排漏洞測試、滲透測試、模擬黑客攻擊,並計劃年底舉行網絡安全攻防演練,透過加入內地攻防演練機構,測試和加強政府部門和公營機構的資訊系統安全,並持續參考最新的技術發展、國家和國際資訊保安管理標準,及時更新相關政策及指引。同時政府計劃以立法方式,清晰訂立關鍵基礎設施營運者的網絡安全責任,建立良好防範管理體系等,保安局目標今年內向立法會提交立法草案。
多個政府部門及法定機構接連發生資料外洩事故,均涉外判承辦商系統。孫東強調政府未來會加強監督,「如承辦商表現未達合約列明的服務表現標準,部門可按合約條款採取行動,包括發出警告、賠償甚至提前終止合約。未來也可能考慮引入黑名單制度,過去一段時間表現不理想的承辦商,會考慮採取一些現行措施。」政制及內地事務局則表示,正考慮修訂私隱條例,直接規管外判承辦商的責任。
研首長級人員督導保安評估
孫東表示,為加強各政策局及部門對政府資訊科技項目的主要監督角色,資科辦正積極研究措施,提供適切指引和技術支援,如要求部門指名高級人員,直接督導資訊系統保安風險評估及審計工作,以及加強網絡風險檢測、抽查和進行審計等,相關高級人員必須是首長級第3級或以上的代表,須負責批核部門所有資訊保安事故的報告及後續行動,並向資科辦報備。
