政府提保障關鍵基礎設施電腦系統立法框架　要求營運者訂安全計劃　違例機構最高罰500萬

【有線新聞】政府提出保護關鍵基礎設施立法，建議要求指定界別和大型設施加強保護核心電腦系統，包括實施系統安全計劃。違反機構最高可判罰港幣50萬元至500萬元，當局強調受規管的是大機構，中小企及一般市民不受影響。將展開一個月諮詢，目標年底前將草案提交立法會。
本港現時未有法例保護關鍵基礎設施的電腦系統，保安局向立法會提交文件，建議以機構為本，立法規管關鍵基礎設施營運者，加強保護電腦系統。涉及八個必要服務行業，包括能源、資訊科技、銀行及金融、醫療保健、通訊及廣播，另外包括大型體育及表演場地、科研園區等。文件提到，營運者要承擔的部分法定責任主要分三類，包括架構、預防、事故通報及應對。
架構方面，營運者須在本港設有辦事處，以及報告設施的擁有權和營運權變更，設立電腦系統安全部門。預防方面，營運者須制定及實施電腦系統安全管理計劃，報告系統重大變化，每年要做至少一次電腦系統保安風險評估及提交報告，以及至少每兩年要做一次獨立的電腦系統保安審計。應對方面，至少每兩年須參與一次由專責辦公室舉行的電腦系統安全演習、提交應急計劃，以及在指定時間內報告保安事故，嚴重事故要兩小時內。
保安局又強調絕大部分受規管的均是具規模的大機構，立法亦旨在加強他們電腦系統的保安能力，減少必要服務被網絡攻擊的可能，承擔保護關鍵電腦系統的責任，絕不涉及系統內的個人資料和業務內容。
文件又提到，成立隸屬保安局的專責辦公室，由行政長官委任專員帶領執行擬議條例、制定實務守則，調查設施營運者的違規情況。保安局強調，立法原意並非為懲罰營運者，故刑罰會以機構為單位，並按違規的種類處以各級罰款，由50萬元至500萬元不等。