半数关注事故通报期短 有倡延至72小时
发布 : 2025-1-07 来源 : 明报新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
【明报专讯】规管关键基础设施立?x??架去年谘询后,保安局放宽保安事故通报时限,由原先要求营运者于得悉严重电脑系统保安事故2小时内通报,延长至12小时内。根据谘询期遮蔽关键基建名称的意见书,约半回应者关注通知期太短、如何界定「得悉」事故的通报门槛不清,部分建议延长至事故后72小时内、甚至不列明具体时限。
指门槛不清 倡「得悉」改「确定」被拒
多个提交意见书的机构反映,发现电脑系统保安事故到确定成因需时,而企业电脑系统几乎每日都阻截威胁,但并非所有都要通报。有展览业机构引述去年因网络安全公司CrowdStrike更新导致微软视窗系统全球故障,微软当日用了相当时间确定并非黑客入侵,放在新法例下,理应毋须通报。
多个回应机构也关注,目前关键基建营运者知悉(become aware)事故的门槛太低或不清,建议提高至「确定」事故,但未获采纳。政府草案提及事故通知「须在切实可行的范围内尽快(而无论如何须在指明时限内)作出」。
企业要求内部审计代替政府提出的两年一次独立安全审计,同遭驳回,草案厘清「任何电脑系统安全审核除非由独立的审核员进行,否则不得视为已予进行」。
事故涵泄个人资料 被质疑违立法原则
谘询文件亦提及,严重事故包括「导致个人资料等数据大量外泄的事故」,被多次质疑与立法原则不涉个人资料有冲突,有回应者建议删去。当局上月在最新立?x??文件未再以个人资料外泄为例子,但《实务守则》草拟版订立处理事故的建议指标,提及「特别是个人资料外泄」。
草案中主体法例未区分严重及其他事故,而是透过附表形式,界定须12小时内通报保安事故为「已干扰、正干扰或相当可能干扰关键基础设施的核心功能」。
指门槛不清 倡「得悉」改「确定」被拒
多个提交意见书的机构反映,发现电脑系统保安事故到确定成因需时,而企业电脑系统几乎每日都阻截威胁,但并非所有都要通报。有展览业机构引述去年因网络安全公司CrowdStrike更新导致微软视窗系统全球故障,微软当日用了相当时间确定并非黑客入侵,放在新法例下,理应毋须通报。
多个回应机构也关注,目前关键基建营运者知悉(become aware)事故的门槛太低或不清,建议提高至「确定」事故,但未获采纳。政府草案提及事故通知「须在切实可行的范围内尽快(而无论如何须在指明时限内)作出」。
企业要求内部审计代替政府提出的两年一次独立安全审计,同遭驳回,草案厘清「任何电脑系统安全审核除非由独立的审核员进行,否则不得视为已予进行」。
事故涵泄个人资料 被质疑违立法原则
谘询文件亦提及,严重事故包括「导致个人资料等数据大量外泄的事故」,被多次质疑与立法原则不涉个人资料有冲突,有回应者建议删去。当局上月在最新立?x??文件未再以个人资料外泄为例子,但《实务守则》草拟版订立处理事故的建议指标,提及「特别是个人资料外泄」。
草案中主体法例未区分严重及其他事故,而是透过附表形式,界定须12小时内通报保安事故为「已干扰、正干扰或相当可能干扰关键基础设施的核心功能」。