严重事故通报时限拟放宽至12小时 接纳口头形式
发布 : 2024-10-03 来源 : 明报新闻网
用微信扫描二维码,分享至好友和朋友圈
发布 : 2024-10-03 来源 : 明报新闻网
用微信扫描二维码,分享至好友和朋友圈
【明报专讯】保护「关键基础设施电脑系统」安全条例最快今年庾x??交立?x??审议,保安局立?x??架早前建议,一旦发生严重电脑系统保安事故,机构营运者须在得悉事故发生两小时内通报专责办公室,其他事故则要在24小时内通报。局方昨日称理解实际困难,拟分别放宽通报严重事故及其他事故时限至12小时及48小时。局方考虑赋权新成立的专责办公室,在关键系统已经或可能受干扰或服务中断时,主动向营运者调查事故原因,确定是否由攻击引致。
公营机构涵否 保安局:机构为本
被问到专办向营运者了解事故成因,是否已符合通报要求,保安局发言人昨称,接受以电话口头或电邮形式通报;若营运者回应专办主动调查成因,某程度上已符合通报要求;除非事故相对复杂,而专办调查时未有涵盖所有涉及事故,营运者或需再主动通报。
立?x??架建议,规管拟涵盖八大界别关键基础设施营运者,及维持重要社会和经济活动的基础设施。被问到公营机构是否涵盖,局方发言人重申采取「机构为本」原则,视乎某机构对关键基础设施控制程度等,若符合定义亦可能受规管。至于会否仿效私隐专员公署每年发表年报,发言人指法例暂无要求相关安排;基于安全理由不会公开受规管对象名单,避免遭「立心不良」者针对攻击,惟法例无禁止营运者公开被规管,后者做法不涉违规。
营运者不再须报告「拥有权」变更
局方引述业界,认为难以经常报告关键基础设施「拥有权」的变更,尤其是上市公司。发言人称理解实际困难,拟移除相关要求,营运者仅需就「营运权」向专办报告。至于要求营运者至少每两年一次参与电脑系统安全演习,发言人认为已参考国际标准厘定,有关要求合适。
公营机构涵否 保安局:机构为本
被问到专办向营运者了解事故成因,是否已符合通报要求,保安局发言人昨称,接受以电话口头或电邮形式通报;若营运者回应专办主动调查成因,某程度上已符合通报要求;除非事故相对复杂,而专办调查时未有涵盖所有涉及事故,营运者或需再主动通报。
立?x??架建议,规管拟涵盖八大界别关键基础设施营运者,及维持重要社会和经济活动的基础设施。被问到公营机构是否涵盖,局方发言人重申采取「机构为本」原则,视乎某机构对关键基础设施控制程度等,若符合定义亦可能受规管。至于会否仿效私隐专员公署每年发表年报,发言人指法例暂无要求相关安排;基于安全理由不会公开受规管对象名单,避免遭「立心不良」者针对攻击,惟法例无禁止营运者公开被规管,后者做法不涉违规。
营运者不再须报告「拥有权」变更
局方引述业界,认为难以经常报告关键基础设施「拥有权」的变更,尤其是上市公司。发言人称理解实际困难,拟移除相关要求,营运者仅需就「营运权」向专办报告。至于要求营运者至少每两年一次参与电脑系统安全演习,发言人认为已参考国际标准厘定,有关要求合适。