香港文匯報訊 香港特區政府昨日於憲報刊登《〈保護關鍵基礎設施(電腦系統)條例〉(生效日期)公告》,指定明年1月1日為《保護關鍵基礎設施(電腦系統)條例》開始實施的日期。

條例已於今年3月28日刊憲,其目的是向被指定的「關鍵基礎設施營運者」施加法定責任,確保他們採取適當措施保護其電腦系統,減低因網絡攻擊導致必要服務被干擾或破壞的可能,從而維持香港社會的正常運作和市民的正常生活。

向8界別施加法定責任

條例列出8個規管界別,包括資訊科技、能源、銀行和金融服務、交通、醫護服務、電訊及廣播等,以及維持關鍵的社會和經濟活動的設施,例如大型體育表演場地、科研園區等。

條例訂明,只有被指定為「關鍵基礎設施營運者」及他們被指定為「關鍵電腦系統」的電腦系統才會受規管。草案採取「機構為本」的方式,即以負責營運每個關鍵基礎設施的機構為一個單位,必須履行保障其自己的電腦系統安全的責任。

關鍵基礎設施營運者需要遵守三類法定責任:

第一類架構責任,包括營運者要向政府報告營運權的變更;設立電腦系統安全管理部門,並委任專責、有專業知識的主管等。

第二類預防責任,包括制定和實施電腦系統安全管理計劃,並定期進行風險評估、審核和演練。

第三類事故通報及應對責任,為當發生電腦系統安全事故時,營運者須在指定時間內向政府報告,同時自行採取應對措施,還原系統。政府在有需要時可提供適時協助,採取補救措施,控制問題和減低影響其他關鍵基礎設施的情況。

最高可罰款500萬元

條例訂明,倘營運者沒有履行法定責任,最高可罰款500萬元;如果是持續罪行,每日額外罰款5萬至10萬元。

為執行條例下的工作,政府將會成立一個隸屬保安局的專責辦公室,與條例下的兩個指定當局一起監管不同「關鍵基礎設施營運者」遵從責任的情況。現階段,金融管理局會負責監管銀行和金融服務相關的營運者遵行第一及第二類責任,而通訊事務管理局則負責監管通訊和廣播相關的營運者遵行第一及第二類責任。

條例生效後,專責辦公室和指定當局會按「關鍵基礎設施」的定義,確定不同界別的相關設施是否對香港持續提供必要服務或維持關鍵的社會和經濟活動屬必要,然後深入了解可能被指定為營運者的機構的業務運作,並了解他們賴以提供服務的電腦系統,以確定符合條例的相關定義與否,才會決定是否指定該機構為營運者及決定指定哪些電腦系統為「關鍵電腦系統」。

為協助營運者符合法例要求,規管當局將發出《實務守則》,列出在法例要求基礎上的建議標準,包括電腦系統安全管理單位主管的專業資格;需要報告的「重大變化」的例子;安全管理計劃、風險評估和審查的內容和標準;職員培訓;如何判斷是否有事故發生等。

特區政府將於下周三(2日)會將公告提交立法會,以進行先訂立後審議程序。