《保護關鍵基礎設施 (電腦系統) 條例》實施在即：企業如何建立「持續監控」與通報機制

香港《保護關鍵基礎設施 (電腦系統) 條例》（Cap. 641）即將正式生效，這是香港首部以法律形式規範關鍵資訊基礎設施網絡安全的法例。條例旨在保障社會運作命脈的電腦系統，防止因網絡攻擊、系統入侵或操作失誤而導致嚴重中斷、資料外洩或公共風險。

一、什麼是「關鍵基礎設施」？

根據保安局及條例草案的定義，關鍵基礎設施（Critical Infrastructure, CI） 涵蓋以下範疇：

• 能源與公用事業（電力、水務、燃氣等）

• 金融系統（銀行、支付平台、證券交易等）

• 交通與物流（港口、鐵路、航空管理系統）

• 通訊網絡（電訊、互聯網基礎設施）

• 醫療與公共衛生系統

• 政府資訊系統與公共服務平台

這些行業的電腦系統一旦遭受攻擊，可能導致社會運作中斷、經濟損失甚至公共安全風險，因此成為條例的主要監管對象。

二、條例重點：從防禦到「持續監控」

與以往僅依賴防火牆或入侵防護的做法不同，新法例要求關鍵基礎設施持有人（CI Owners）必須建立持續監控、即時通報及事件應變能力，確保系統能在任何情況下保持穩定與安全。

主要要求包括：

1. 指定責任持有人 (Responsible Person)

   每個持有人需指定負責資訊保安及合規的專責人員，統籌風險管理及通報工作。

2. 建立及維護保安措施

   機構需實施適當技術及管理控制，如網絡隔離、權限管理、入侵偵測及備份機制。

3. 實施「持續監控」機制

   條例要求機構持續監測系統運作、異常登入、流量變化及潛在入侵行為，及早發現問題。

4. 事故通報及應變機制 (Incident Notification)

   一旦發生影響關鍵服務的事件（如資料外洩、勒索軟件、系統中斷等），持有人必須在指定時限內向主管當局（網絡安全及科技罪案調查科 CSTCB）通報，並配合調查與補救行動。

5. 定期安全審核與測試

   機構須定期進行滲透測試、安全審計及演練，以驗證防禦措施的有效性。

三、不合規的法律後果與罰則

條例設有明確的罰則，強化執法力度及企業問責機制：

• 未履行通報或配合調查責任：最高罰款 HK$200,000，及監禁 12 個月。

• 未按要求採取補救措施或維持保安標準：最高罰款 HK$1,000,000，及監禁 2 年。

• 妨礙或拒絕配合執法行動：視情節嚴重程度，可被判罰款及監禁。

這代表資訊安全已正式上升至法律責任層面，企業管理層須為合規與風險管理負最終責任。

四、「持續監控」是合規的核心

「持續監控」不僅是技術工具，更是一套持續性的安全治理流程，包括：

• 即時監控：整合多系統資料流，主動偵測異常活動。

• 集中警報：透過統一儀表板顯示風險狀況，加快決策反應。

• 自動通報：異常事件發生時自動通知管理層與安全小組，縮短反應時間。

• 持續改進：根據通報及審核結果持續優化防禦策略。

五、企業合規實踐建議

CC Concept 建議企業可按以下路線落實條例要求：

1. 現有系統審視與風險評估 — 檢視內部架構及外部整合點，找出弱點。

2. 整合監控平台 — 將不同系統與雲端資源統一監控。

3. 建立自動通報與事件分類機制 — 確保通報流程明確，符合主管部門時限要求。

4. 制定事件應變與通報手冊 — 明確定義通報層級及回應責任人。

5. 定期演練與教育 — 提升員工對通報義務及應變程序的認知。

六、結語：合規是企業韌性的基礎

《保護關鍵基礎設施 (電腦系統) 條例》不僅是合規要求，更是企業營運韌性的重要指標。持續監控與即時通報機制不僅減少風險，更能提升企業在面對網絡威脅時的反應速度與信任度。

CC Concept 將協助企業從系統審視、安全監控到通報流程設計，全面落實新法例要求，讓資訊系統在合規與穩定中運作。