香港的数码环境比以往任何时候都更具活力和互联性。但伴随这种快速发展而来的,是日益複杂的网络威胁。从针对大型企业的勒索软件攻击,到影响成千上万人的资料外洩事件,如今的风险从未如此之高。为应对这一挑战,香港政府引入一项具里程碑意义的网络安全法,标誌着本港的网络安全策略将从「行业建议」转向「法律规管」。
对于企业领袖、资讯科技经理和合规主任而言,这不仅仅是另一项法规。它将对本港大部分企业的营运和安全要求带来根本性的改变。本文将为您深入剖析这项拟议法例的已知内容、受影响的对象,以及最重要的是,您今天应该採取哪些前瞻性措施,以确保您的机构不仅合规,而且安全。
超越新闻头条:理解立法背后的「原因」
多年来,香港的网络安全框架一直以自愿性原则和特定行业的指引为主,例如由香港金融管理局(HKMA)和证券及期货事务监察委员会(SFC)发布的指引。虽然这些指引对某些行业行之有效,但随着网络攻击的规模和严重性不断升级,建立一个统一、跨行业的法律框架已变得刻不容缓。
这项新法例的主要目标,是加强香港「关键资讯基础设施」(Critical Information Infrastructure, CII)的安全与韧性。这些是维持城市日常运作、经济稳定和公共安全的必要系统和网络。通过强制要求这些营运者遵循更高的安全标准,政府旨在建立一个更强大、更协调的防禦体系,以抵禦可能对整个城市产生骨牌效应的网络威胁。
您的企业是否在名单上?识别「关键资讯基础设施营运者」(CIIO)
对于每家香港企业来说,核心问题是:「这项法例是否适用于我的业务?」该法例将明确针对被指定为「关键资讯基础设施营运者」(CIIO)的实体。虽然最终名单尚待确认,但公众谘询文件已概述了几个几乎肯定会被纳入的关键行业。
如果您的机构在以下任何一个行业中营运,您需要密切关注:
- 能源及公用事业: 电力、燃气和供水系统。
- 交通运输: 航空、公共交通网络和海事服务。
- 金融服务: 银行、支付系统以及证券和期货市场。
- 资讯及通讯科技: 主要电讯网络和数据中心。
- 医疗保健: 提供必要服务的公营和私营医院。
- 公共服务: 政府服务及其他必要的公共职能。
如果您不是 CII 营运者,又该如何?
即使您的公司不直接属于上述任何类别,您也无法完全免受法例的影响。新法规将在整个商业生态系统中产生涟漪效应。CII 营运者将被要求严格审查其供应链合作伙伴和託管服务供应商的安全状况。如果您为 CII 营运者提供服务,您很可能需要满足他们全新的、更高的安全标准。这项新法例势将成为香港网络安全最佳实践的行业基准。
核心责任:法例对您的企业有何期望?
拟议的法例超越了简单的建议,为所有指定的 CII 营运者引入了一系列强制性的法律责任。这些要求旨在创建一个全面、主动的安全框架。根据政府的建议,这些责任可能包括:
1. 进行正式的网络安全风险评估
CII 营运者将被要求定期进行结构化的保安风险评估及审计(SRAA)。这不再是「可有可无」的选项,而是一项法律规定。这些评估必须识别关键资产、评估潜在威胁和漏洞,并正式记录机构的风险状况。其核心在于对您的安全弱点有清晰、基于证据的理解。
2. 严格的事故通报时限
其中一项最重要的变化是强制性的快速事故通报机制。当发生「严重网络安全事故」时,CII 营运者将有法律责任在极短的时间内(例如 24 小时内)向监管机构报告。这要求机构必须备有健全且经过演练的事故应变(Incident Response)计划,以便有效地侦测、控制和报告违规事件。
3. 遵循最低安全标准
法例将建立一套基本的安全控制和实践标准。这将迫使营运者实施和维护一系列技术和程序上的保障措施,包括存取控制、网络安全、数据加密和定期的系统修补。主动进行渗透测试或漏洞评估,可以帮助您在法例生效前识别和修復差距。
4. 定期进行网络安全演习和员工培训
技术只是方程式的一部分。预计法例将要求 CII 营运者定期进行网络安全演习,以测试其应变能力,并为所有员工提供持续的安全意识培训。一个具备韧性的机构,意味着每位员工都明白自己在预防和报告安全威胁方面的角色。
从被动应对到主动防禦:您的五步准备清单
等待法案最终通过才採取行动是一种高风险策略。现在就是准备的最佳时机。採取主动不仅能确保未来的合规性,更能立即加强您的机构抵禦当前威胁的能力。
第一步:确认您的定位
审视可能被纳入的 CII 行业。您的业务是否在其中?您是否为这些行业的公司提供关键服务?在董事会层面展开讨论,评估法例对您业务的潜在影响。
第二步:评估您当前的安全状况
您无法保护您不了解的东西。与值得信赖的合作伙伴合作,进行一次全面的安全评估。一次彻底的保安风险评估及审计(SRAA)或渗透测试,将为您提供当前漏洞的清晰快照,并为您制定一份有优先次序的修復路线图。
第三步:制定正式的事故应变计划
如果您还没有书面的事故应变计划,请立即制定。如果您已有计划,请进行测试。透过桌面演习模拟一次重大洩漏事件。您的团队是否知道在最初的 24 小时内应该致电给谁、该做什麽?一个经过充分演练的计划是实现有序恢復与陷入混乱之间的区别。
第四步:审视您的供应链安全
开始询问您的主要供应商和服务提供商关于他们的网络安全实践。您的安全防线与您最薄弱的一环同样脆弱,而监管机构将期望您能有效管理第三方风险。
第五步:与网络安全专家合作
在应对複杂安全威胁的同时,要驾驭一个全新的法律框架可能会让人不知所措。与託管式安全服务供应商(MSSP)合作,可以为您提供所需的专业知识和资源。从 24/7 全天候监控和威胁侦测,到合规谘询和虚拟资讯安全总监(vCISO)服务,合适的合作伙伴能助您满足监管要求,并建立真正的网络韧性。
迈向安全合规的未来
香港即将出台的网络安全法不仅仅是一项监管障碍,更是一个机遇。它是一个催化剂,促使企业提升其安全水平、保护其关键资产,并与客户建立更深的信任。通过今天採取果断、主动的措施,您的机构可以充满信心地向前迈进,从容应对香港网络安全的未来。
您的企业是否已为网络安全监管的新时代做好准备?不要等到资料外洩后才找出答案。
立即联繫我们进行免费谘询,了解我们的渗透测试、保安风险评估及审计(SRAA)和託管式安全服务(MSSP)解决方案如何助您做好准备。
强化企业安全 🛡️ 立即行动
UD 是值得信赖的託管安全服务供应商(MSSP)
拥有 20+ 年经验,已为超过 50,000 家企业提供解决方案
涵盖渗透测试、漏洞扫描、SRAA 等全方位网络安全服务,全面保护现代企业。
