问与答

拟议条例的规管对象是维持
(i)香港社会必要服务攸关或
(ii)重要的社会和经济活动的「关键基础设施营运者」。

拟议条例下分两类 –
(一)  在香港提供必要服务的基础设施，涵盖八个界别：
          (1)能源；
          (2)信息科技；
          (3)银行和金融服务；
          (4)陆上交通；
          (5)航空交通；
          (6)海运；
          (7)医疗保健；以及
          (8)通讯和广播；或
(二)  其他维持重要的社会和经济活动的基础设施（例如大型体育／表演场地、科研园区等）。

拟议条例被指明的「关键基础设施营运者」要履行以下三大类法定责任：
I.      架构

-  在香港设有地址和办事处

-  报告关键基础设施拥有／营运权的变更

-  设立计算机系统安全管理部门（可外判）并由营运者的专责主管负责监管

II.    预防

-  报告有关关键计算机系统的重大变化（如设计、配置、安全或运行）

-  制定／实施计算机系统保安管理计划

-  进行计算机系统保安风险评估（至少每年一次）

-  进行计算机系统保安审计（至少每两年一次）

-  采取措施确保相关第三方服务提供商符合相关法定责任要求

III.  事故通报及应对

-  参与计算机系统保安演习（至少每两年一次）

-  制订应急计划

-  在指定时间内报告有关关键计算机系统的保安事故

• 严重计算机系统保安事故（指已经或即将对必要服务的连续性及关键基础设施的正常功能造成重大影响，或导致个人资料等数据大量外泄的事故）：在得悉事件发生后2小时内；
• 其他计算机系统保安事故：在得悉事件发生后24小时内。

免责条款
所收到的意见书视作公共信息处理，其全部或部分内容可能会被复制和发表，用于是次咨询及相关用途，而不会征求提交意见人士的批准或向其发出确认。
所有意见书所收集的个人资料会用于是次咨询及任何直接相关用途。除非特别要求予以保密，保安局或会按是次咨询及相关用途引述提交意见人士的身分或机构名称。如你不愿意公开身分或名称，请在提交意见时述明。