問與答

擬議條例的規管對象是維持
(i)香港社會必要服務攸關或
(ii)重要的社會和經濟活動的「關鍵基礎設施營運者」。

擬議條例下分兩類 –
(一)  在香港提供必要服務的基礎設施，涵蓋八個界別：
         (1)能源；
         (2)資訊科技；
         (3)銀行和金融服務；
         (4)陸上交通；
         (5)航空交通；
         (6)海運；
         (7)醫療保健；以及
         (8)通訊和廣播；或
(二)  其他維持重要的社會和經濟活動的基礎設施（例如大型體育／表演場地、科研園區等）。

擬議條例被指明的「關鍵基礎設施營運者」要履行以下三大類法定責任：
I.      架構

-  在香港設有地址和辦事處

-  報告關鍵基礎設施擁有／營運權的變更

-  設立電腦系統安全管理部門（可外判）並由營運者的專責主管負責監管

II.   預防

-  報告有關關鍵電腦系統的重大變化（如設計、配置、安全或運行）

-  制定／實施電腦系統保安管理計劃

-  進行電腦系統保安風險評估（至少每年一次）

-  進行電腦系統保安審計（至少每兩年一次）

-  採取措施確保相關第三方服務提供者符合相關法定責任要求

III.  事故通報及應對

-  參與電腦系統保安演習（至少每兩年一次）

-  制訂應急計劃

-  在指定時間內報告有關關鍵電腦系統的保安事故

• 嚴重電腦系統保安事故（指已經或即將對必要服務的連續性及關鍵基礎設施的正常功能造成重大影響，或導致個人資料等數據大量外洩的事故）：在得悉事件發生後2小時內；
• 其他電腦系統保安事故：在得悉事件發生後24小時內。

免責條款
所收到的意見書視作公共資訊處理，其全部或部分內容可能會被複製和發表，用於是次諮詢及相關用途，而不會徵求提交意見人士的批准或向其發出確認。
所有意見書所收集的個人資料會用於是次諮詢及任何直接相關用途。除非特別要求予以保密，保安局或會按是次諮詢及相關用途引述提交意見人士的身分或機構名稱。如你不願意公開身分或名稱，請在提交意見時述明。