政府資料頻外洩 孫東:擬設黑名單增問責
香港文匯報訊(記者 胡恬恬)立法會人事編制小組委員會昨日(29日)通過決議成立數字政策辦公室,並於2024年7月25日或財務委員會批准當日起生效。創新科技及工業局局長孫東表示,將加強對政府電子系統的監管,例如在系統規劃階段適當介入及作初步審核等。資科辦及數字辦即將推出新措施,重點加強政府電子系統安全,包括加強各政策局及部門的監督責任及角色,亦會強化常規的系統安全檢查及引入攻防演練等。
特區政府將推出一系列網絡安全措施,包括恒常抽查部門網絡系統,安排漏洞測試、滲透測試、模擬黑客攻擊,並計劃年底舉行網絡安全攻防演練,透過加入內地攻防演練機構,測試和加強政府部門和公營機構的資訊系統安全,並持續參考最新的技術發展、國家和國際資訊保安管理標準,及時更新相關政策及指引。
同時政府計劃將以立法方式,清晰訂立關鍵基礎設施營運者的網絡安全責任,建立良好的防範管理體系等,保安局的目標是在今年內向立法會提交立法草案。
多個政府部門及法定機構近期連續發生資料外洩事故,均涉及外判承辦商系統。孫東昨日在會議上強調,政府未來會加強監督,「如果承辦商的表現未能達到合約列明的服務表現標準,部門可按合約條款採取行動,包括發出警告、賠償,甚至提前終止合約。未來也可能會考慮引入『黑名單』制度,過去一段時間表現不理想的承辦商,會考慮採取一些現行措施。」
政制及內地事務局則表示,正考慮修訂私隱條例,直接規管外判承辦商的責任。私隱專員公署亦正全面審視私隱條例,包括設立強制個人資料外洩通報機制,賦權私隱專員判處行政罰款等。敲定建議後會徵詢政府及立法會,再按實際情況制訂修例時間表。
須安排首長級人員督導保安評估
孫東表示,為進一步加強各政策局及部門,對政府資訊科技項目的主要監督角色,資科辦正積極研究措施,提供適切指引和技術支援,例如要求部門指名高級人員,直接督導資訊系統保安風險評估及審計工作,以及加強網絡風險檢測、抽查和進行審計等,相關的高級人員必須是首長級第3級或以上的代表,須負責批核部門所有資訊保安事故的報告及後續行動,並向資科辦報備。