立法会资讯科技及广播事务委员会 资讯保安

2008年5月30日參考文件立法會資訊科技及廣播事務委員會資訊保安目的本文件的目的，是向委員會簡述政府及公共機構資訊保安的現況及就最近的資料外泄事故取得的經驗而作出的改善計劃，從而減少將來發生事故的風險。政府就資訊保安所持的立場2.政府非常重視資訊保安和保護內部的資訊及電腦資產。在數碼21資訊科技策略下，建立一個穩妥的環境，是推動資訊及通訊科技在本港發展的重要一環。政府已就資訊保安採取不同措施，以提高社會各界對進行電子交易的信心，藉以促進電子政府及電子商貿的發展。過去數年，我們推行多項與資訊保安有關的計劃，建立公共資訊保安基建，以發展電子商貿和促進資訊及通訊科技在社會上的使用，並已取得實質進展。3.政府已制訂和實行一套全面的資訊保安架構，為保護其管理的資訊資産設立應有的監管和措施。鑒於瞬息萬變的商業立法會CB(1)1679/07-08(01)號文件-2-環境、科技發展和社會需求，政府會不斷地更新此架構以緊貼最新的發展。對於最近突然增多的資料外泄事故，政府正注入更多資源加強這架構，以維持資訊保安的最高標準和減低保安事故所帶來的影響。4.儘管現况已有很多保護政府資訊資産及市民個人資料的措施，我們明白仍需持續努力，尤其考慮嶄新的威脅和風險，以及保安事故所汲取的經驗。政府現行保護資訊資產及個人資料的措施資訊保安的監管5.政府制訂了一套全面的資訊保安規例及政策1，及頒布給政策局及部門（各局/部門）執行。這些規例、政策及有關的程序及指引是參考國際間良好的作業模式及採用專業資源而制訂，並會不時更新以反映科技發展和保安威脅的轉變。各局/部門須負責整個部門的資訊保安，在運作、組織、管理、技術和程序各方面的考慮下，設立他們的資訊保安架構及作業實務。個別僱員及合約員工須負個人責任，遵從規定的作業實務。6.為監管和執行政府內部的資訊保安，當局於2000年成立資訊保安管理委員會2。此外，為了在行政上支援該委員會，政府更成立資訊科技保安工作小組，負責頒布及監察各局/部門遵行資訊科技保安政策及指引。自2007年5月，中央統籌的保安審1當中包括基準資訊科技保安政策、資訊科技保安指引、保安風險評估及審核指引、資訊保安事故處理指引及軟件資產管理指引。2資訊保安管理委員會核心成員包括保安局及政府資訊科技總監辦公室的高級人員。-3-計，已開始實施，以確保各局/部門能妥善進行所需的保安風險評估及檢討。(i)政府的資訊保安需求7.在資料保護方面，《保安規例》有明確要求限制政府把持有的資料作出保安分類及處理。在很多情況下，個人資料是被分類為限閱或以上。每一個政府人員對於受限制資料（包括載有個人資料的文件）的保安都應負上個人責任。此外，《保安規例》還有特定的章節涵蓋資訊系統及有關儲存、處理和傳送資訊的規例。8.政府資訊科技總監辦公室已制訂了一套指引，建議各局/部門資訊保安的執行措施。這些指引所涵蓋的一些課題列舉於本文附件1。軟件資產管理指引，尤其針對妥善管理及使用電腦軟件。另外，正確使用互聯網指引已發給所有政府人員，協助他們使用互聯網。當各局/部門進行系統發展項目時，資訊科技總監辦公室也會要求及協助他們落實私隱影響評估和保安影響評估。(ii)政策局／部門9.各局/部門須參照基準資訊科技保安政策來制訂其部門資訊科技保安政策及執行必需的資訊保安管理和保護措施3，包括部門資訊保安通告、指示和程序，以協調及管理事務應用系3包括委任高級人員擔任部門電子事務统籌人員、部門資訊科技保安主任、網絡管理員及資訊保安事故應變小組。部門資訊科技保安主任負責整個部門的資訊保安管理與運作。資訊保安事故應變小組協調日常關於資訊保安事故的報及應變。-4-統、資訊科技資源、資訊保安措施及事故應變處理。10.在保護部門的資訊系統及電腦設施方面，部門須執行必要的措施確保商務交易和資訊的完整性4及最少每兩年一次替其資訊系統、網絡及服務進行保安風險評估。另外，政府資訊科技總監辦公室已提供一份自我評估表格給各局/部門每年填報，以了解他們保安改善情況。11.當發生資訊保安事故時，各局/部門須根據事故的嚴重性，向政府資訊保安事故應變辦事處作出之匯報。12.各局/部門須確保員工接受足夠及適當的資訊保安培訓，及應傳閱中央發出的規例、政策、指引、程序、通告及警報給所有工作人員包括外判員工5，以保持員工在處理資料時擁有最高的認知、知識和技能。(iii)政府員工13.所有政府員工需要遵從就資訊保安及個人資料保護的相關規例及指示。資訊保安是每一個員工的個人責任，政府員工在處理政府的受限制資料(包括載有個人資料的文件)時，要遵從保安要求。他們有責任認識、明白、遵從和盡可能執行所有可行及可用的保安措施，以及盡力防止未被授權的人閱覽他們的電腦和工作站。4這些措施包括實體保安、存取控制程序及電子認證措施。5此外，各局/部門也須定期再傳閱該批文件以提醒員工。-5-(iv)公共機構14.各局/部門在規管轄下的公共機構時，會參考政府的保安規例和政策以作出相應的規管或行政安排。爲了監察公共機構的正常運作，部門與其轄下的公共機構需要協商資訊資產的保護，以防止發生任何資訊保安事故，影響公共服務的提供。各局/部門須與公共機構協調資訊保安計劃及執行有關的措施，確保必須的保護措施及事故應變能力有效地執行及運作。我們建議公共機構，制定他們的資訊保安政策、項目計劃及執行措施時，可採納或按需要修訂相關政府資訊保安政策、指引及技術文件內容。最重要是公共機構對網上的保安威脅須保持警惕，還須強化他們的保安狀況，以保護其電腦資産和所持有關市民的資料。保護措施的執行(i)技術措施15.政府採用「防護、偵察、反應及恢復」的原則，以確保業務交易和資訊的完整性。為防範不同種類的網上攻擊6，我們執行了必需的措施，包括採用各種最新科技應用在各種服務層面或個別資訊科技項目7上。此外，政府資訊科技總監辦公室除了爲某些主要的資訊科技項目建議資訊保安要求、標準、設計及方案，還協助各局/部門選購所需的軟件及資訊科技保安專業服務。爲了方便各局/部門處理有關資訊保安事宜及採購外間資6包括電腦蠕蟲和病毒、黑客入侵、濫發訊息及電腦罪行等不同的威脅。7這些措施包括防火牆、抗禦電腦病毒軟件、入侵偵察系統及其他防禦機制，以監測、偵察和堵截政府電腦網絡及系統可能受到的入侵，並會定時安裝最新的修補及糾正程式。-6-源，政府資訊科技總監辦公室已就資訊保安專業服務制訂常備承辦協議。16.爲了保護受限制/個人資料或服務免被外泄，多種服務層面與部門資訊科技系統和網絡已實施合適的登入程序和接達授權。爲了更強化資料存取的控制，政府資訊科技總監辦公室已於2004年推行風險評估和電子認證架構，以確保各局/部門在推行他們的電子政府服務時已執行風險評估和合適的保護措施。於2007年12月，我們已頒布「統一身份管理架構」，確保市民可在最新推出的電子政府服務統一的客戶界面和賬戶管理程序去辦理客戶登記、服務註冊和客戶認證。此架構目的在爲大衆提供方便與保護資訊資産之間取得平衡。無論如何，對技術性和程序上的措施進行定期的保安檢討和審計可確保他們能夠配合科技的發展、業界的最佳作業模式以及系統、網絡或機構環境的改變。(ii)遵從保安要求17.自2007年5月，政府已執行一個由中央管理的保安審計，定期替各局/部門確實其遵從保安要求和妥善執行已識別的改善事宜。這個初部系列的保安審計將於2009年5月完成審查所有部門。(iii)員工對資訊保安的認知與教育18.政府非常關注員工在資訊保安方面的培訓，也承諾使員工能獲得資訊保安的知識和技巧。為了在管理和運作層面加強員工對資訊保安及相關最佳作業模式的認識，政府資訊科技總監辦-7-公室已製備多份策劃、管理及技術方面的保安指引，以供各局/部門參考，並透過研討會、專題網頁及參考指南向各員工傳達。政府會因應新的保安威脅及相關的預防措施，不時更新這些指引。此外，我們並設立完善的溝通網絡，向全政府發放保安威脅及警告的相關資訊。政府資訊科技總監辦公室已定期向各局/部門發出有關資訊保安的催辦便箋，提醒各員工留意軟件漏洞和保安威脅，並就保護資訊資產提供指引。19.我們已聯同多個局/部門舉辦資訊保安有關的研討會及培訓課程，範疇包括資料保護、事故應變處理、網絡應用系統保安、資訊科技外判保安等。此外，我們與公務員事務局一般職系處合作，特別為行政主任職系舉辦了政府資訊保安課程，以加強這些人員特定的知識和技能，應付日常部門運作需要。我們製作了兩個有關資料保護的網上課程。政府人員可透過公務員培訓處的網上電子學習平台公務員易學網，修讀這兩個課程。20.政府資訊科技總監辨公室利用多種資訊發放渠道，向政府人員及市民推廣和教育資訊保安的專題資訊。這些渠道包括網站8、宣傳單張、小冊子、電台和電視廣播。於2007年，我們派發「保護你的電腦資料」單張9，內載「確保手提儲存設備安全」及「為敏感資料加密」的主要信息。為引導用戶正確使用互聯網的服務與突顯有關法例，我們亦已製作正確使用互聯8政府熱衷分享其資訊保安的知識和經驗給市民大眾，使公眾更支持建立健康的數碼社區。我們不時製作有關資訊保安的技術指引及參考資料，並把資料截於一站式資訊保安入門網站(網址：)，以供市民閱覧。9有關網站索引頁及單張的內容，請參閱附件2。-8-網的守則10，以供政府員工和市民大衆參考。(iv)事故應變處理機制21.如遇保安事故，各局/部門會立即展開初步調查，並視乎事故嚴重程度(例如事故會影響公共服務或政府)向政府資訊保安事故應變辦事處匯報。一般而言，機密及個人資料的泄漏均需要作出報。政府資訊保安事故應變辦事處負責協調和支援各局/部門應付有關保安的資訊保安事故。從最近發生的保安事故汲取經驗22.自2008年4月中起，政府及公共機構發生多宗保安事故，涉及個人資料泄漏，引起市民的關注（有關最近發生的保安事故摘要，請參閱附件3）。其中一些事件的調查仍在進行，初步結果顯示，大部分事件是由於員工對現有的資訊保安規例、政策及指引(特別是在使用便攜式電子裝置及文件共享軟件方面)的認識及／或警覺不足所致。此外，員工對資料保護和在辦公室以外的地方（例如家中）處理公務文件的額外潛在風險的有關認知，亦非常重要。23.在現今的電腦使用環境下，新出現的保安威脅正不斷挑戰終端用戶的裝置（如個人電腦、個人數碼助理和多功能流動電話等消費者裝置、以及USB快閃裝置、記憶卡、外置磁碟等便攜式電子儲存裝置）所儲存之資料保密性。此外，廣泛應用10指引特別提及用戶不應發行、刊載、傳輸、連結、發放或訂閱任何含有欺騙、淫穢、煽動、冒犯、誹謗、威脅或不法的資料、惡意程式碼或材料。-9-和依賴互聯網這個平台作商業、工作、學習、消閒等活動也會帶來網上保安威脅。這些威脅有小部分是不經意或由於人爲錯誤産生，其餘很多是含有惡意動機，包括不正當的獲利、作弄和破壞、以及嘗試盜竊身份和其他欺騙行爲。24.就最近發生的保安事故，我們已加強了一些保護電子資料的措施。這些措施包括：增強所有員工對資訊保安要求的意識及確保他們明白如何遵守規例；確保他們能具備所需的軟件和基礎建設，以遵守規例和減少資料儲存於便攜式裝置的機會；加強管理機制，確保政府和公共機構遵守規例，提供給機構所需的意見和協助；計劃長期技術性改善措施使員工更易遵守規例，以及政府更容易防止和偵察違反規例的事故。政府的資訊保安強化計劃25.政府在汲取這些事件的經驗後，已迅速提醒所有員工，必須遵守有關保護資訊系統和受限制/個人資料的資訊保安要求。我們已引入新的要求及建議以減低一些涉及便擕式電子儲存裝置的事故所帶來的風險。我們亦已發出更多的技術資訊和指引，加深員工對有關規例、程序和資訊科技方案的認識。最近發生保安事故的有關局/部門已即時採取改善行動，詳情請參閱附件3。其他局/部門亦已更新他們的內部通告和舉辦緊急簡報會，以確定員工注意及遵從這些催辦便箋和附加指引。此外，政府已即時採取一套改善措施，以減低保安風險及因違反規例可能導致的後果。此強化計劃會在未來數月推出並涵蓋以下四個範疇，包括加深員工對資訊保安的認知和教育、技術及程序-10-措施、遵