《保護關鍵基礎設施(電腦系統)條例草案》委員會 政策討論環節
陳振英議員:謝謝主席。首先我支持《條例草案》,作為業界代表,我也認同銀行及金融服務界的電腦系統也屬於關鍵 電腦系統。但我在文件看到幾個問題想當局澄清一下。
第一,文件提到《條例草案》以“機構為本”,各基礎設施以機構作為單位,我想問可能有些公司的結構較複雜,例如子公司和集團公司,究竟最終“機構為本”是由專員,還是由有關規管當局指定,譬如好像銀行是由金管局指定?這是我想澄清的第一個問題。
第二,有關營運者必須設有電腦系統安全管理單位,單位也可以自己設立或外判,我想問管理單位的規模是由營運者自行決定,或需否由專員或相關監管機構評估其規模和基礎設施的大小以形成一個合理比例?這是我想局方澄清的第二個問題。
第三個問題,是每兩年至少要進行一次獨立電腦系統安全審核,既然是獨立,當然要由外面的第三方負責進行。銀行習慣把這些獨立審核給專業公司進行。因為現有《條例草案》涉及的不一定是銀行,也有電訊公司或其他行業,這是否要由會計師樓等專業進行,有否特定的資質要求?這是第三個問題。
第四個問題是事故通報。《條例草案》訂明關鍵基礎設施營運者需要配合專員安排的演習,是否代表演習統一進行,而不是每一機構單獨做演練?專員會否安排突擊檢查,或單獨對某機構進行檢查,去看看其關鍵基礎設施有否做好日常防禦及應對工作?
最後,有關電腦系統安全事故通報,以銀行界來說,必須要向金管局匯報。將來如出現要向專員匯報,是否要走雙線匯報機制,即是說要通知行業的監管機構,又要通知專員,才能夠符合法例規定?謝謝。
保安局副秘書長1:謝謝陳議員的提問。首先就銀行的指定營運者方面,因為是屬於銀行及金融服務界別,所以由金管局負責指定哪個機構是營運者。就陳議員說的“機構為本”,其機構架構可能較複雜,有母公司和子公司等。究竟哪些機構會被指定為營運者?負責的金融管理局屆時需因應《條例》所訂,就如何指定營運者的準則,包括關鍵基礎設施本身的核心功能是甚麼、電腦系統的依賴程度、其控制的資料敏感度,及對運作及管理的控制程度。舉個例子,以銀行來說,如母公司沒有參與銀行的日常運作,銀行本身作為關鍵基礎設施直接由子公司負責管理,我們應因應準則,相信金融管理局也會了解可能被指明關鍵基礎設施的銀行架構,究竟誰直接負責處理銀行業務的日常運作及管理,就指定該機構作為營運者。這是第一。
第二個問題涉及成立專責電腦系統安全管理單位,《條例草案》也有要求成立後要匯報給負責的規管當局。以銀行來說,指定當局會是金融管理局,因為這是第一類責任。在這方面,《條例草案》下也有相關條文,說明要成立專責電腦系統安全管理單位,要有足夠知識的負責人管理。但這方面,我們會仔細就各界別及剛才所說各營運者的獨特情況,考慮在實務指引再細化個別要求,例如剛才所說其規模或專責負責主管的要求等,我們也會在《實務守則》再細化。
審核方面,這涉及第二類責任。在《條例草案》下有提到相關要求,附表也有提到審核內容需要包括些甚麼。我們有需要時也會通過日後的《實務守則》,進一步詳細列出要包括甚麼資料。至於要有獨立的審核情況,我們在其他場合也有解釋過可以是由外聘的專門核數公司進行,又或是機構當中的獨立審核單位,都可以採用內部做法,最重要是他們符合專業要求,有防火牆確保獨立性,我們也可以接受。
至於第四個問題是事故應變演練。我們初步構思專責辦公室會為業界整體舉行演練及邀請業界參加。當然,我們了解到 個別潛在營運者現時可能自行演練,如他們有演練,我們也會作為參照日後是否邀請他們參加演練,或作為參考他們是否已符合法例要求。
有關事故通報,同一時間,如銀行發生事故,因為銀行現在都要向金管局匯報事故,但我們知道事故的定義可能有些不同,因為現在可能事故涉及服務中斷,但服務中斷未必因為剛才所說的情況。“電腦系統安全事故”在《條例草案》下是一個特定的定義,包括沒有合法權限進入電腦系統,而且已有實際損害才需要匯報。我們相信,第一,“事故”的定義不同,同一個事故的確需要兩邊匯報,因為《條例》不會企圖減省現時金管局的職能,或現時金管局所規管行業需要符合的要求,但同一時間,因為匯報的出發點不同,因為剛才所說,金管局的着眼點可能是現時確保服務的維持,及確保不會影響市民大眾的銀行服務中斷,而我們的出發點是確保在事故後可如何盡快介入、防止擴散,及在有需要的時候提供協助,及令系統恢復。兩者的目的、要求匯報的目的也有所不同。我希望在此能解答陳議員的問題。