护关键电脑系统 拟准索生产供应商资料 曾提「采购考虑国安」 《守则》最新拟稿:应采多元开源零部件(组图)
发布 : 2025-11-24 来源 : 明报新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
图为香港机场。《保护关键基础设施(电脑系统)条例》明年1月1日生效,法例涵盖提供必要服务的8个界别,包括航空运输。(资料图片)
明报记者 林励
可索系统结构型号
另外,保安局早前称营运者「在采购时考虑国家安全风险和制裁风险」,最新《守则》则称,营运者可视乎评估地缘政治及供应链风险,应采用多元或开源(open source)零部件,未直接提「国家安全」。
立?x??今年通过《保护关键基础设施(电脑系统)条例草案》,保安局辖下会设有「专责办公室」及专员负责执行法例,纳入规管的属8个界别公司或机构如能源、银行、交通、电讯等企业或机构,例如电力公司,而纳入的营运商要按法例检视其电脑系统保安,系统须符合法例规定的营运标准,例如面对严重事故在12小时内通报、通报电脑系统的重大改变,制定相关保安计划,以及做评估和参与政府演习。新例2026年1月生效,保安局本月就新例向业界发出《实务守则》最后拟稿(部分见表)。
保安局:交立会版本仅作说明用途
保安局回覆查询时说,当时提交立?x??文件中的《实务守则》概要「仅作说明用途」,《守则》的确实内容会在法例生效后及适当谘询相关持份者后,由规管当局制定。
政府提出立例时,营运商采购环节受关注,当局曾提出企业采购电脑系统时,应要考虑「制裁」因素。最新《守则》拟稿提及,关键基建营运者应制定程序,管理供应链中的电脑系统安全风险,包括辨识及记录电脑系统的关键零部件。《守则》续说,可视乎评估的供应链风险及地缘政治风险层级,营运者在适当情?下,应采用多元来源或开源的关键电脑系统零部件,有助避免过分依赖单一或少数供应商。《守则》也提及,营运商指定政策或指?x??,应考虑自身要求、行业规则及适用国家及国际电脑系统保安准则。
业界赞减额外成本 保采购弹性
香港通讯业联会回应说,新《守则》适合采购风险管理的核心要求,即在确保不违反国家安全且不受制裁的前提下,回归法例保障关键网络安全的原意,也贴近业界在全球化供应链下的惯常做法。联会说,《守则》让业界能基于最能满足本身要求的方案采购,有助减少因局限选择所衍生的额外合规成本,对此表示欢迎。
网络安全谘询机构Syber Couture行政总裁黄迪奇说,《守则》目前写?x??供一定弹性,让企业自行衡量后采购,料可衔接企业内部要求,也解决业界担心法例一生效就要指定购买某来源的产品,缺乏其他选择。
在处理严重系统保安事故中,《守则》提及7种情?,包括影响关键基建核心功能的停机时间、服务水平、是否有大量客户资料外泄,或有人威胁攻击系统等,纯粹技术故障、停电、已及时处理的保安威胁或人为错误的资料外泄,并不构成保安系统事故。
《守则》第一章并重申,条例并不针对营运商持有个人资料或商业秘密。
保安局则重申《守则》并非附属法例,关键基础设施营运者不遵从《守则》本身不构成罪行,若营运者未遵从《守则》而规管当局发出书面指示,营运者不遵从指示才算犯罪。
■明报报料热线:inews@mingpao.com / 9181 4676