賭場醫院銀行公用事業須遵網安法
關鍵基礎設施擔四義務
【本報消息】政府昨起至明年一月廿四日,就《網絡安全法》舉行為期四十五天的公開諮詢。諮詢文本建議全部公共實體及一百一十六個私營實體須遵守法定的網安義務。倘不遵守義務會有不同罰則,公共實體須負起紀律責任,私營實體則科處罰款,甚至附加處罰。
防範攻擊入侵網絡
新聞發佈會昨日上午十時在保安司長辦公室舉行,由保安司司長黃少澤、個人資料保護辦公室主任楊崇蔚、保安司長辦顧問陳軒志及白安德、郵電局資訊科技發展及資源管理廳代廳長梁燊堯、公職局電子政務規劃及基礎建設處長陳子健及司警局電腦法證處長陳思晶主持。
陳軒志稱,科技快速發展,居民的生活及各行業日益依賴資訊設備及網絡。但恐怖主義肆虐全球,不法分子藉資訊網絡漏洞犯罪,衝破地域界限,而且網絡攻擊和入侵頻發,令部門、企業及居民生活面臨威脅。“預防勝於治療”,有必要制訂“網安法”,構建一個網絡安全防範管理體系,訂明關鍵基礎設施營運者的義務和責任,確保網絡安全。
“關鍵基礎設施”是指對社會運作及利益非常重要的網絡及資產,當其遭到破壞或喪失功能時,可能危害公共安全、公共利益等。故“網安法”主要規範全部公共實體及一百一十六個私營實體(統稱“關鍵基礎設施營運者”)須負起四大網安義務。
設網安部門及主管
公共實體包括所有公共部門、機關及實體;私營實體則指透過特許、准照或判給方式經營的私人實體,包括娛樂場、醫院、銀行、保險、海陸空運輸、水電、電訊、天然氣、燃油、污水處理、垃圾收集等營運實體。
網安四大義務包括:一、組織義務:設置網安部門及負責人,聘請此等負責人時審查背景等(公共實體則由一領導層或等同職級人員擔任網安負責人);二、程序、預防及應變義務:制訂網安管理制度及內部操作程序,落實內部網安保護、監測、預警及應急措施,當發生網安事故時向監察實體通報。
私營機構違者罰款
三、自行檢測評估及報告義務:自行或委託專業機構檢測評估本身的網絡安全及風險,每年向所屬監察實體提交報告;四、合作義務:允許監察實體人員進入設施,並提供所需資料及支援。另外,公共網絡經營者負有兩項特別義務,包括電話實名制及日誌保存。
公私營實體倘不遵守義務會有不同的罰則。私營實體輕則警告,或罰款五萬至十五萬元,嚴重者可科處十五萬至五百萬元。亦設有附加處罰,如剝奪公開競投權利及獲取津貼等,中止許可、准照、執照或判給合同等部分或全部效力。公共實體負責人違反網安義務須負起紀律責任,處分十日至二百四十日停職,嚴重者以撤職論處。
“網安法”生效後涉及的部門或企業有否足夠網安人手?黃少澤表示,大部分的公私營實體已有網安部門及人員負責工作。或有機構缺乏人手,但相信機構會不斷加強網安力量,確保機構的網絡安全。