SRAA驅動的資訊安全變革：香港面臨的監管與市場雙重壓力

監理轉型：從條文遵從到實證監管

到 2025 年底，香港政府完成了《關鍵基礎設施（電腦系統）條例》的立法準備工作，並將於 2026 年初開始分階段實施。

該條例適用於金融服務、能源、醫療保健和電信等指定產業，要求相關機構建立正式的資訊安全治理結構。

與以往主要依賴事後追究責任的《個人資料（私隱）條例》不同，新的監管邏輯強調：

1. 系統性風險評估與書面治理
2. 已實施安全控制措施的證據
3. 可審計的流程和可追溯的決策記錄

這標誌著一個根本性的轉變：監管機構不再僅僅根據事件是否發生來評估合規性，而是根據是否存在合理的控制措施、是否執行了這些措施以及這些措施是否能夠得到證實來評估合規性。

企業壓力：市場盡職調查趨於技術性與證據性

• 供應鏈和投資者審查範圍涵蓋各行業

在跨國交易、上市和採購過程中，投資者和大型交易對手越來越需要：

1. 持續的風險評估記錄，而非一次性報告
2. 對照試驗和有效性的證據
3. 獨立的 SRAA、ISO 27001 或同等第三方審核結果

在科技、醫療保健和金融服務等行業，僅憑 IT 政策聲明不再被視為安全能力的證明。

• 證據能力作為一項新的競爭因素

中型企業經常面臨的一個問題是：“我們有風險管理流程，但我們如何證明這些流程確實得到了執行？”

這反映了 2026 年資訊安全治理的核心問題：文件記錄、可追溯性和可驗證的執行與技術控製本身一樣重要。

SRAA實施的實際挑戰

即使是擁有完善的安全框架或符合 ISO 標準的系統的組織，在向循證評估過渡時也會遇到結構性困難。

• 日常控制中證據鏈不足

常見差距包括：

1. 風險評估是在沒有持續記錄的情況下進行的。
2. 缺乏執行證據（測試日誌、驗證結果）的控制活動
3. 缺乏端對端文件記錄的事件處理

因此，組織可能已經“完成了工作”，但仍然無法清晰或一致地證明這一點，從而增加了監管和商業風險。

• 跨職能治理與高階監督機制有限

資訊安全不再只是IT部門的職責。監管機構和利害關係人越來越期望：

1. 法律、合規和內部稽核部門參與控制設計
2. 董事會層級審查安全風險報告
3. 明確的問責與升級機制

如果沒有治理整合，僅靠技術控制是不夠的。

• 報告和內部記錄的門檻不明確

在新監管環境下，諸如以下事件：

1. 第三方服務中斷
2. 例外訪問行為
3. 系統更新失敗

可能觸發內部文件記錄或外部通知要求。

如果沒有預先定義的分類和升級標準，組織可能會出現少報、多報或處理不一致的情況，每種情況都會帶來法律和聲譽後果。

未來12個月展望

根據當前的監管信號和國際協調趨勢，香港的資訊安全風險評估預計將朝著幾個明確的方向發展：

• 證據勝於政策

組織將被要求保存完整的風險評估記錄、控制測試證據和審查文件。

• 從一次性合規到持續治理

資訊安全將越來越多地出現在企業風險週期、年度報告和 ESG 資訊揭露中。

• 跨部門的SRAA機制

法律、IT、風險管理和內部稽核部門需要共同支援可審計的營運控制。

• 國際框架趨同

企業不再僅僅響應本地要求，而是朝著與歐盟 NIS2、亞太網路安全框架和 ISO/IEC 治理模型相容的結構發展，從而提高一致性和外部信任度。

結論：SRAA 作為資訊安全治理的實用切入點

在香港2026年的合規環境下，SRAA不再只是一項程序性手續，而已成為衡量組織治理成熟度和信譽度的核心指標。

核心問題已經從“我們是否有資訊安全政策？”轉變為“我們是否有資訊安全政策？”

答：“我們能否證明是誰執行了這些命令，在什麼條件下執行的，以及取得了哪些可驗證的結果？”

只有能夠進行循證合規的組織才能經受住日益嚴格的監管審查和市場驗證，並建立具有韌性的長期資訊安全治理。

DQS HK 的關聯服務

• 安全風險評估與審計（SRAA）
• 滲透測試
• ISO 27001認證
• 隱私影響評估 (PIA)
• 安全事件回應 (IR)
• 安全意識培訓