隨著數碼轉型的深入推進,網絡安全已成為全球經濟穩定運行的基石。香港特別行政區作為國際金融與商業樞紐,其關鍵基礎設施(Critical Infrastructure, CI)所面臨的網絡威脅日益複雜。
為應對此項挑戰,香港已通過首部針對關鍵基礎設施的專門網絡安全法例——《關鍵基礎設施(電腦系統)條例草案》,並定於 2026 年 1 月 1 日正式生效。對於身處能源、金融、交通、醫療等八大關鍵行業的企業而言,當前最大的挑戰並非是否需要合規,而是如何理解監管與審核的預期,以及企業自身的合規準備將如何被評估。
香港關鍵基礎設施網絡安全立法的出台,標誌著香港在網絡安全治理方面邁出重要一步,將網絡安全從過去的「最佳實踐」或「自願性指引」提升至強制性法律義務的層面。
這意味著相關行業的企業,特別是被指定為關鍵基礎設施營運者(CIOs)的機構,其網絡安全管理將不再是可選項,而是必須達到的合規底線。法例要求 CIOs 設立專門的電腦系統安全管理部門(CSSM Unit),並對其電腦系統進行定期風險評估及獨立審計,同時就網絡安全事故通報設立嚴格時限。
上述規定旨在系統性提升香港關鍵基礎設施的整體網絡韌性,確保在面對網絡攻擊時,核心服務能持續穩定運作。
作為第三方認證/審核機構,我們觀察到,在監管檢查與獨立審計過程中,以下三類核心領域將成為評估企業合規準備的重要依據:
審核通常會關注企業是否建立清晰的網絡安全治理架構,以及管理層在網絡安全中的角色與責任是否得到明確履行,包括:
監管與審核將重點評估企業是否系統性識別、評估與管理網絡安全風險,並採取充分的預防性控制措施,通常包括:
當網絡安全事故發生時,企業能否及時、有效地應對與通報,是監管機構高度關注的範疇。審核通常會關注:
在企業準備應對新法例的過程中,我們觀察到若干常見誤區,可能導致合規工作方向出現偏差:
認為購置並部署最新安全技術即可滿足合規要求,忽略治理架構與管理體系的重要性。
將網絡安全視為 IT 部門的專屬職責,而未充分理解管理層的核心責任。
風險評估未能真實反映企業面臨的風險,或風險處置計劃缺乏可操作性。
未充分評估供應鏈風險,誤以為第三方安全責任與企業自身無關。
在監管檢查或獨立審計中,企業通常需提供客觀證據以證明其合規性,包括:
香港關鍵基礎設施網絡安全立法的實施,為相關行業企業帶來更高的合規要求,同時亦提供提升網絡韌性與競爭力的契機。
企業應及早理解監管與審核預期,系統性審視與優化自身網絡安全管理體系。透過建立健全的治理架構、落實有效的風險管理與預防措施,並完善事故應變機制,企業不僅能達到合規底線,更能構建抵禦未來網絡威脅的穩固防線。
在我們所做的每一項工作中,我們始終堅持最高的質量和專業標準。這不僅使我們的行動成為行業標杆,也成為我們不斷精進和堅守的使命。
