香港《關鍵基礎設施(電腦系統)條例》已於 2025 年 3 月 19 日通過,為被界定的營運者確立了全面的電腦系統安全監管要求。
保安局轄下已成立全新的專員辦事處負責監督合規情況,並由特定行業的「指定當局」提供專業支援。
適用於被界定之關鍵基礎設施 (CIs)、關鍵基礎設施營運者 (CIOs) 及關鍵電腦系統 (CCSs)。
違規行為最高可處以 30 萬至 500 萬港元的罰款,若屬持續違規,則按日加徵額外罰款。
本條例涵蓋八大必要服務領域,以及其他一旦受損將嚴重衝擊社會或經濟活動的基礎設施。
發電、輸電及配電設施
數據中心、雲端服務及資訊科技基礎設施
銀行、支付系統及金融機構
機場、航空交通管制及航空服務
鐵路、隧道及公共運輸系統
港口、航運及海事物流
醫院、診所及醫療機構
電訊網絡、互聯網服務供應商 (ISPs) 及廣播服務
大型體育/表演場地、科技園區及其他一旦損毀或數據洩漏將嚴重影響社會或經濟活動的基礎設施。
根據條例,「關鍵基礎設施營運者」必須履行以下三大類法定責任。
全方位專業服務,協助您的組織實現並維持與《關鍵基礎設施條例》的規範。
全面的缺口分析 (Gap Analysis),根據條例規範評估當前資安態勢,並識別有待改進的範疇。
開發符合條例要求及業界最佳實務的全面電腦系統安全管理計劃。
法規強制執行之年度電腦系統安全風險評估,用以識別、評估並排序關鍵電腦系統面臨之安全威脅。
每兩年執行一次獨立電腦系統安全審核,以驗證合規性並評估資安控制措施之有效性。
開發並落實緊急應變計劃,以符合條例對事故通報與響應之法律要求。
協助建立「電腦系統安全管理單位」並為其配置合資格之專業人才。
結構化之合規路徑,確保在 2026 年 7 月期限前完成條例對接。
全面的缺口分析,了解當前合規現況並識別關鍵風險項。
識別並記錄組織內所有關鍵電腦系統 (CCS) 及其關聯依賴關係。
開發符合條例要求的電腦系統安全政策、流程與治理框架。
實施法定要求的資安控制措施,建立電腦系統安全管理單位,並部署監控能力。
執行電腦系統安全評估與桌面演習,驗證事故應變程序之有效性。
透過年度風險評估、兩年一度的審核與持續監控以維持長期合規。
現在是評估就緒度並啟動實施的最佳時機。我們的專家團隊隨時準備為您導航,完成合規過程中的每一步驟。