保安局副秘書長王秀慧,在立法會一個委員會上表示,《保護關鍵基礎設施(電腦系統)條例草案》提出,在保安局轄下成立專責辦公室,負責執行條例,初步預算專責辦公室會有約30至40人,包括由特首委任的專員、數字政策辦公室和警方專家,以及處理日常文件和查詢的文職人員等。
《條例草案》提出,「關鍵基礎設施營運者」需擬定和實施電腦系統安全管理計劃 ,最少每年進行一次電腦系統安全風險評估、每兩年進行一次獨立電腦系統安全審核等,金融界陳振英關注,需否交由第三方負責獨立電腦系統安全審核,以及相關人員是否有特定資質要求。王秀慧回應指,獨立的審核情況,可由外聘的專門核數公司,或機構內的獨立審核單位負責,重申局方只接受符合專業防火牆要求的審核人員,以確保獨立性。
議員關注「關鍵基礎設施營運者」定義
金融界立法會議員陳振英關注,部分公司的結構較複雜,有子公司、集團公司等,機構為本是由專員,抑或局方指定。
保安局副秘書長王秀慧回應指,金融管理局負責管理銀行業界,局方會按條例訂明的準則,包括營運者對服務的核心功能、電腦系統的依賴程度、控制的資料的敏感度、及對運作和管理的控制程度,來作出指定。她以銀行作例子解釋,若母公司沒有參與銀行日常運作,一般由子公司負責管理,金融管理局便會與相關,有可能被指名的關鍵基礎設施銀行了解公司架構,以確認誰是直接負責處理銀行業務的日常運作和管理,才能成為機構的指定營運者。
留言 0