【識港網訊】針對近期接連有政府部門電腦系統故障及資料外洩事故,香港特區政府資訊科技總監辦公室(資科辦)日前再次向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施並最遲於今天(13日)回覆確定。資科辦昨日以書面方式接受香港文匯報訪問時強調,所有政府部門均須採取風險為本的原則,持續為其資訊系統識別保安風險,包括定期進行獨立的資訊保安風險評估及改善現行保安措施,確保相關與時並進,有效應對最新網絡風險,以保障政府資訊系統的安全。資科辦又指,會在大型及高風險資訊科技項目推出前安排額外的獨立網絡安全測試,例如透過模擬入侵攻擊演練,以協助各政策局及部門及早發現和修補相關系統漏洞,並評估系統在應對網絡攻擊時的偵測及復原能力。
資科辦表示,高度關注近期接連有政府部門出現資訊保安事故,尤其涉及洩露個人資料,有關部門正全力與服務供應商跟進調查,全面檢視事件及進一步加強保護措施,以防止同類事件發生。
要求部門檢視資訊保安措施
除了向相關部門提供技術支援,資科辦已再次向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施,同時提醒其轄下所有系統和用戶必須嚴格遵守政府資訊保安規例、政策及指引處理敏感及個人資料,不可儲存於公有雲平台上。
被問到有立法會議員批評資科辦有將事故的責任推給部門之嫌,又指資科辦常作為「旁觀者」的角色,實應肩負更大責任時,資科辦回應指,資訊科技系統作為部門運作及服務的主要組成部分,各決策局及部門對系統及相關服務質素和運作的責任至為重要,決策局及部門的管理層應加強對其資訊科技系統的管理和監督。而隨着政府全力推進服務電子化,各部門亦需確保其電子政府服務及資訊系統運作暢順,符合市民的期望,「不單需要從系統設計及工作流程方面以服務對象為本,亦要顧及技術細節、治理及安全性。」
資科辦表示,根據《政府資訊科技保安政策及指引》,各部門須按規定發布本身的資訊科技保安政策,並須建立一套政策發布機制,以確保所有人員、功能組別及管理層均能輕易得知有關政策,以便履行職務及切合遵守政府的保安要求。
為確保政府資訊保安標準緊隨國家和國際最新的發展,資科辦已於上月發布新修訂的指引,加強了不同領域的資訊保安控制措施,包括資訊保安事故通報機制,同時亦提升對政府資訊系統安全的等級保護,要求政府部門必須採用以風險為本評估系統安全的等級,並根據分級實施相關等級保安控制措施,以期更有效保障政府的資訊系統及數據安全。
資科辦表示,會向部門提供技術支援,包括政府私有雲端平台,通過中央互聯網通訊閘接達互聯網,採用多層網絡安全保安技術、防火牆、入侵偵測和應變系統等。
獨立資訊保安審計擬下半年展開
而為確保各部門嚴格執行政府的保安規定,並提供建議協助它們持續優化保安管理系統以應對新的保安威脅,資科辦稱一直以來均有為各部門展開以風險為本為原則、針對較大型項目的獨立資訊保安進行審計,對上一輪審計已於今年3月完成。資科辦表示,計劃於今年下半年展開新一輪的審計,以確保各部門遵從政府保安規定。
被問到來有何針對電腦系統故障及資料外洩事故的改善方向時,資科辦表示,會在大型及高風險資訊科技項目推出前安排額外的獨立網絡安全測試,例如透過模擬入侵攻擊演練,以協助各部門及早發現和修補相關系統漏洞,並評估系統在應對網絡攻擊時的偵測及復原能力。
資科辦亦正就成立數字政策辦公室徵詢立法會意見及徵求所需的批准,預計新辦公室於今年年中成立。該辦公室除了會繼續承擔資科辦現行的職能工作,並會強化督導職能,冀能引領各部門在進一步推行電子政務方面能適切回應社會的需求和期望。
發「指引」助政府部門管理外判工作
政府的資訊科技項目有時會涉及外判,資科辦表示,已發出《外判資訊科技項目管理執行指引》(《執行指引》)以協助各部門管理及監督外判承辦商的工作,部門須按照《執行指引》成立計劃督導委員會和項目保證組,在整個項目實施的過程密切監督承辦商的進度及表現,確保各個階段能如期交付及項目開支符合預算、系統能適當切合部門業務及用戶需求。如承辦商的表現未能達到所簽訂合約上列明的服務要求標準,部門會按合約訂明的條款適時採取行動,包括向承辦商發出警告,要求承辦商就延遲交付或交付後系統的可靠性和性能未能達到合約訂明的標準而作出賠償,甚至提前終止其合約。
另外,資科辦管理的《優質資訊科技專業服務常備承辦協議5》,合約金額上限為2,000萬元。該協議設有承辦商表現監察制度,就每份在該協議下所批出的合約,相關部門會每6個月及於合約完成後,評核承辦商的表現。該協議下亦有機制暫停表現不達標的承辦商競投新的報價邀請,直至其表現有所改善。
資科辦表示,政府注意到早前個別公營機構推出的資訊系統出現不順暢的情況,顯示除政府部門外,公營機構在推出面向公眾的電子服務前,亦須審慎規劃並作出充分測試,以確保系統安全穩妥地運作。
而為應對可能出現的黑客入侵,資科辦亦除了要求部門嚴格遵守《政府資訊科技保安政策及指引》外,亦已把相關政策及指引上載至網站給所有公私營機構參考,「個別機構可因應情況,採用有關資訊保安政策及指引所建議的管理保安風險原則及措施。」
資科辦表示正積極研究,為各部門加強監督其轄下公營機構所推出的新資訊系統提供適切指引和技術支援,包括系統推出前進行充分測試。
