高危項目演練抗黑客防甩轆
推出前安排獨立網絡測試 資科辦促部門定期評估風險
針對政府部門電腦系統近期接連發生故障及資料外洩事故,政府資訊科技總監辦公室日前再向所有決策局及部門首長發出清晰指示,要求全面檢視現有資訊保安措施並最遲今天(13日)回覆確定。資科辦昨以書面方式接受本報訪問時強調,所有政府部門均須採取風險為本原則,持續為資訊系統識別保安風險,包括定期進行獨立資訊保安風險評估及改善保安措施;又指會在大型及高風險資訊科技項目推出前安排額外獨立網絡安全測試,如透過模擬入侵攻擊演練,協助及早發現修補漏洞。
資科辦表示,高度關注近期接連有政府部門出現資訊保安事故,尤其涉及洩露個人資料,有關部門正全力與服務供應商跟進調查,全面檢視事件及進一步加強保護措施,防止同類事件發生。除向相關部門提供技術支援,資科辦已再次向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施,同時提醒轄下所有系統和用戶必須嚴格遵守政府資訊保安規例、政策及指引處理敏感及個人資料,不可儲存於公有雲平台上。
為確保政府資訊保安標準緊隨國家和國際最新發展,資科辦已於上月發布新修訂指引,加強不同領域的資訊保安控制措施,包括資訊保安事故通報機制,同時亦提升對政府資訊系統安全的等級保護,要求政府部門必須採用以風險為本評估系統安全的等級,並根據分級實施相關等級保安控制措施,以期更有效保障政府的資訊系統及數據安全。
資科辦表示,會向部門提供技術支援,包括政府私有雲端平台,通過中央互聯網通訊閘接達互聯網,採用多層網絡安全保安技術、防火牆、入侵偵測和應變系統等。
數字政策辦公室料年中成立
為確保各部門嚴格執行政府的保安規定,並提供建議協助持續優化保安管理系統應對新的保安威脅,資科辦稱一直以來均有為各部門展開以風險為本為原則,針對較大型項目的獨立資訊保安遵行審計,對上一輪審計已於今年3月完成。資科辦表示,計劃於今年下半年展開新一輪的審計,以確保各部門遵從政府保安規定。
被問到未來有何針對電腦系統故障及資料外洩事故的改善方向,資科辦指會在大型及高風險資訊科技項目推出前安排額外的獨立網絡安全測試,例如透過模擬入侵攻擊演練,以協助各部門及早發現和修補相關系統漏洞,並評估系統在應對網絡攻擊時的偵測及復原能力。
資科辦亦正就成立數字政策辦公室徵詢立法會意見及徵求所需的批准,預計新辦公室今年年中成立。新辦公室除會繼續承擔資科辦現行職能工作,並會強化督導職能,冀能引領各部門在進一步推行電子政務方面能適切回應社會的需求和期望。
