SRAA 驅動下的資訊安全新態勢：2026 香港監管與市場雙壓力解析

一、監管變革：從文字合規走向證據導向

《關鍵基礎設施（電腦系統）條例》推動「事前治理」責任

2025 年底，香港政府完成《關鍵基礎設施（電腦系統）條例》立法準備，並於 2026 年初起逐步要求特定行業（如金融、能源、醫療、通訊）建立資訊安全治理架構。不同於過去單靠《個人資料（私隱）條例》追責事件結果，新條例強調：

1. 系統性風險評估與紀錄保存
2. 資訊安全控制實施證據
3. 可供審核的流程與回溯機制

這代表未來監管機構不再只看是否發生事故，而是問企業是否具備合理控制與證據鏈，真正落實治理問責。

二、企業壓力：市場盡調變成「技術＋紀錄」雙重驗證

• 供應鏈壓力外溢至全行業

在跨境貿易與上市審核中，越來越多投資人與大型客戶要求：

1. 持續風險評估紀錄（非一次性文件）
2. 安全控制測試結果
3. SRAA、ISO 27001 或其他第三方稽核報告

特別是科技、醫療、金融服務等行業，供應鏈安全驗證已不再接受單靠 IT 政策聲明。

• 證據鏈能力成為企業「新競爭力」

許多中型企業反映：「我們有風控流程，但總被問，你如何證明它確實執行過？」

這正是 2026 年資訊安全評估的新核心 —— Documentation & Traceability（文件化與可追溯性）。

三、SRAA 實施挑戰：從形式合規到治理系統建構

即使部分企業早有資安政策或 ISO 系統，實務操作上仍面臨下列困難：

• 缺乏證據鏈支撐日常控制

1. 風險評估無持續紀錄
2. 控制點無實施憑證（如測試紀錄、執行回報）
3. 安全事件調查缺少全流程留痕

這使得組織即使「做了」，也無法「說得清、證得出」，增加合規風險。

• 缺乏跨部門治理與高層參與

資訊安全不再只是 IT 議題，而需：

1. 法務與內控部門共同參與控制設計
2. 董事會層級審閱年度風險報告
3. 明確界定職責分工與風險問責機制

• 不清楚「何時該通報、何時該記錄」

新條例下，部分事件如第三方服務中斷、登入異常、系統更新失誤等，是否觸發通報與內部記錄？企業若無預設準則與分級制度，極易誤判，導致法律風險或客戶信任危機。

四、未來 12 個月觀察與建議

綜合本地監管趨勢與國際要求，預期 2026 年香港資安風險評估將朝以下方向深化：

• 從「有政策」走向「有證據」

企業需建立完整風險評估紀錄、控制測試、回溯報告等文件鏈條。

• 從「合規做一次」轉向「治理變日常」

資訊安全將納入企業風險治理週期（如年度報告、ESG 章節中反映）。

• 建立跨部門 SRAA 推進機制

法務、內審、IT、風險管理部門需聯合推動可審核、可落地的控制系統。

• 規則標準趨向國際融合

企業不應只對應香港條文，而應佈局可對接 EU NIS2、APAC CSF、ISO/IEC 框架的系統，增強對外一致性與客戶信任。

結語：SRAA 是資訊安全治理真正的落地入口

SRAA 在 2026 的香港，不再是合規表格，而是衡量企業風險治理成熟度與市場信任度的關鍵指標。

真正的問題不再是「我們有沒有資安政策」，而是：「我們能否證明這些政策是被誰、在哪裡、在什麼條件下有效地執行過的？」

唯有建立實證式合規能力，企業才能穿越監管壓力與市場驗證，走向長期穩健的安全治理。

DQS HK 的相关服务

• 安全风险评估与审计 (SRAA)
• ISO 27001 认证
• 渗透测试
• 隐私影响评估 (PIA)
• 安全事件响应 (IR)
• 安全意识培训