創新科技及工業局局長孫東表示,為進一步加強各政策局及部門,對政府資訊科技項目的主要監督角色,資科辦正積極研究措施,提供適切指引和技術支援,例如要求部門指名高級人員,直接督導資訊系統保安風險評估及審計工作,以及加強網絡風險檢測、抽查和進行審計等。他指,相關高級人員必須要是首長級第3級或以上的代表,需批核部門所有資訊保安事故的報告及後續行動,並向資科辦報備。
他在立法會回應議員質詢時指,資科辦亦正研究要求部門委任高級人員,密切監督私隱影響評估的進行,並會引入日常檢測、網絡安全攻防演練、加強員工培訓等,提升政府資訊系統及網絡安全的監察和防禦能力,更有效保障資訊系統及數據安全;其中在網絡安全攻防演練方面,資科辦計劃引入「道德黑客」,定期掃瞄政府部門資訊科技系統網絡安全的漏洞。他又說,本港近期出現的網絡安全事故,均與大環境有關,形容本港處於特殊的歷史時刻,來自內外的持續將持續增加,對今後的資訊保安工作會有更高要求。
孫東:政府一定會加強電子系統監管角色
民建聯葛珮帆關注,日後若在高級管理人員監督下,仍然出現資訊保安方面的人為失誤,是否將有人需要負責,又詢問新措施會否訂立罰則。孫東回應指,新指引說明各個政策局及部門,均須切實負起監督責任及角色,而即將成立的「數字政策辦公室」,首要任務是確保今後推出的電子系統能運作暢順,相信日後政府在這方面的監管角色一定會加強。
他又指,私隱專員公署正全面審視《私隱條例》及制訂具體修例建議,包括設立強制性個人資料外洩通報機制、賦權私隱專員判處行政罰款、直接規管資料處理者,以及釐清個人資料的定義等;公署將詳細研究其他司法管轄區的相關法律,同時考慮香港實際情況,確保修例建議能配合國際發展,敲定建議後會徵詢政府及立法會意見,再按實際情況制訂具體修例時間表。
孫東表示,最近涉及個別政府部門及公共機構的個人資料外洩事故,反映各政策局和部門,以至社會各界,都必須時刻提防資訊及網絡保安風險,增強安全意識,並加強資訊系統和數據防護,強調資訊及網絡安全是數字政府的基石,所有政策局及部門均需負起第一防線責任,保障資訊科技系統及數據的第一層安全,並遵循資科辦發布的資訊科技保安政策及指引,落實有效的資訊保安系統管理架構及措施;若發現部門人員或合約承辦商涉嫌違規或違法,部門首長應按既定程序處理。