隨著數位轉型不斷加速,網路安全已成為全球經濟穩定的基石。作為國際金融和商業中心,香港特別行政區面臨日益複雜的網路威脅,這些威脅的目標直指其關鍵基礎設施。
為因應這些挑戰,香港通過了首部專門針對關鍵基礎設施的網路安全立法-《關鍵基礎設施(電腦系統)條例草案》,該草案將於2026年1月1日生效。對於在能源、金融、交通和醫療等八個指定重點領域運作的機構而言,主要挑戰不再是是否需要合規,而是如何理解監管和審計要求,以及如何評估機構的合規準備。
Loading...
香港關鍵基礎設施網路安全法(2026):合規要求及審計預期
Loading...
新法規對合規基準的整體影響
香港關鍵基礎設施網路安全立法的出台,標誌著香港在加強網路安全管控框架方面邁出了重要一步。它將網路安全從「最佳實踐」或自願性指導提升為強制性法律義務。
被指定為關鍵基礎設施營運商 (CIO) 的組織現在須遵守法定要求。這些要求包括:
- 建立專門的電腦系統安全管理(CSSM)部門
- 定期進行網路安全風險評估
- 接受獨立安全審計
- 遵守嚴格的事件報告時限
這些要求旨在系統地提高香港關鍵基礎設施的整體網路韌性,確保基本服務在面對網路事件時保持穩定運作。
新網路安全法如何改變資訊長的合規義務
監管檢查和獨立審計在評估組織的合規準備時,可能會重點關注以下三個核心領域。
治理與管理問責制
審計通常會評估組織是否建立了明確的網路安全治理結構,以及管理階層的職責是否得到妥善界定和履行。重點領域可能包括:
- 管理層的承諾和參與
高階管理人員是否瞭解並支援網路安全戰略,包括資源分配和決策機制。
- CSSM部門的設立及其作用
CSSM部門是否已正式成立、其組織架構、人員配置、專業能力和獨立程度如何,都是審計人員需要評估的內容。審計人員還可以評估該部門是否擁有足夠的權限和資源來履行其法定職責。
- 內部責任分配
網路安全角色和職責是否在組織各層級和部門之間明確定義和溝通。
- 政策和程序
組織內部是否已建立、記錄並有效傳達符合法律要求的網路安全政策和程序。
風險評估和預防控制
監管機構和稽核人員需要評估組織是否有系統地識別、評估和管理網路安全風險,以及是否採取了適當的預防性控制措施。重點關注領域可能包括:
- 風險評估機制
是否定期進行全面的網路安全風險評估,涵蓋所有關鍵電腦系統及相關第三方相依性?應重點關注所採用的方法、風險識別的準確性以及風險應對方案的有效性。
- 實施獨立審計
由於法律規定每兩年進行一次獨立的電腦系統安全審計,審計可能會審查審計機構的獨立性、審查範圍、方法以及已發現問題的補救措施。
- 技術控制措施
是否部署了適當的技術保障措施,例如存取控制、身份驗證機制、網路分段、入侵偵測、加密、漏洞管理和安全性設定管理。審計人員通常會評估這些控制措施的有效性及其與已識別風險的匹配程度。
- 第三方風險管理
是否已將與第三方服務提供者相關的網路安全風險納入組織的整體風險管理框架?這可能包括盡職調查流程、合約安全條款、持續監控以及供應鏈風險管理的考量。
事件報告和監管通知要求
及時有效地應對和報告網路安全事件的能力是監管機構關注的重點領域。審計通常側重於:
- 事件響應計劃(IRP)
是否存在已記錄在案的事件回應計畫(IRP),涵蓋識別、遏制、根除、恢復和事後審查。審核員可能會審查其可行性、測試記錄和員工意識。
- 報告機制
該組織是否已建立滿足法定報告要求的程序,包括明確的觸發條件、內部升級流程、責任方、報告時間表以及對過去事件的記錄。
- 恢復和業務連續性
組織能否在網路安全事件發生後迅速恢復關鍵業務,包括資料備份、業務連續性計畫 (BCP) 和災難復原計畫 (DRP) 的有效性。
- 練習和持續改進
是否定期進行事件回應演練,以及是否將所學到的經驗教訓納入持續改善措施中。
合規準備中的常見誤解
在準備實施新法規的過程中,各組織可能會遇到一些常見的誤解,這些誤解可能導致合規性漏洞:
- 迷思一:將合規性等同於技術部署
假設光是購買先進的安全技術就能滿足監管要求,而忽略了治理和管理系統的要求。
- 誤解二:忽視治理問責制
將網路安全僅視為IT部門的職能,而沒有認知到高階管理人員的整體責任。
- 迷思三:膚淺的風險評估
編製的風險評估報告不能準確反映實際暴露情況,或不能有效地指導控制措施的實施。
- 誤解四:第三方監管不足
低估供應鏈風險,並假設第三方網路安全責任與組織本身的責任是分開的。
網路安全審計中通常會審查的證據類型
在監管機構檢查或獨立審計中,組織通常需要提供客觀證據來證明其合規性。此類證據可能包括:
- 管理系統文檔
網路安全政策、程序、組織架構圖和角色描述。
- 風險管理記錄
風險評估報告、風險處理計劃和管理審查記錄。
- 審計和評估報告
獨立安全審計報告、內部稽核報告、滲透測試結果和漏洞掃描報告。
- 事件管理文檔
事件回應計畫、事件日誌、通知記錄和事件後分析報告。
- 第三方管理文件
供應商評估報告、合約安全條款、供應商稽核報告和服務等級協定(SLA)。
- 培訓和意識記錄
員工培訓記錄和意識提升計畫文件。
- 技術配置和日誌記錄
安全性設定文件、系統日誌、存取控制清單和身份驗證記錄。
結論
香港關鍵基礎設施網路安全立法的實施提高了受影響行業的合規要求,同時也創造了加強長期網路韌性的機會。
鼓勵各組織機構充分了解監管和審計要求,並有系統地審查其網路安全治理和風險管理框架。透過加強治理結構、實施有效的風險管理流程以及確保強大的事件回應能力,各組織機構可以增強抵禦不斷演變的網路威脅的能力,同時履行其法定義務。
DQS HK 的關聯服務
Author
DQS HK
Loading...
