《保护关键基础设施（计算机系统）条例》（第 653 章，以下简称《条例》）自 2026 年 1 月 1 日正式生效已过两个多月。关键基础设施（计算机系统安全）专员办公室（OCCICS）于同日发布通用《实务守则》（Code of Practice），能源界别专门守则亦于 1 月 28 日公布。此条例旨在强化香港关键计算机系统的安全防护，更有助提升整体数码韧性，增强外资对香港作为国际金融及科技中心的信心。

随着 AI 技术急速普及，2026 年的网络安全危机正急剧升级。近年本地及全球网络攻击事件持续攀升，AI 已成为黑客强大的工具，能自动化目标侦察、生成高度逼真的钓鱼内容、自主调整攻击策略，甚至针对供应链漏洞发动大规模连锁攻击。AI 不仅加速攻击的速度与规模，更放大供应链及关键基础设施的风险；有预测显示，错误配置的 AI 系统可能在不久将来导致关键服务自动中断，带来严重后果。这些趋势令《条例》的三类责任更显迫切——企业若不及早强化网络防护，不仅面临合规罚则，更可能在 AI 趋势下放大的危机中遭受重大冲击。

为深入了解条例生效后的实战落地，第一线 DYXnet 网络安全专家钟而政（Louis），为大家带来应对攻略。Louis 拥有逾 20 年云端、网络及网络安全经验，持有多项国际认证，曾领导多个关键基础设施相关合规项目。他以第一线视角，为信息科技、云端服务、数据中心及相关企业提供行动指南，强调合规不仅是法定义务，更是企业提升竞争力的战略投资。

Louis 表示，条例的核心是要求关键基础设施营运者（简称 CIO）履行三类法定责任——架构、预防及事故应对，目的是减低网络攻击导致必要服务中断的风险。由条例消息传出以来，许多企业开始自问：「我们是否会被定义成 CIO？如果是的话，现在该从哪里入手？」信息科技界别及云端营运者特别敏感，因为他们的系统往往是其他界别的「底层支撑」，一旦被指定，影响范围广泛。

通用《实务守则》参考 NIST SP 800 系列、ISO 27001 等国际标准，提供逾 200 项具体指引，涵盖管治架构、风险管理、技术和政策控制、持续监测、改进，以及灾害应变和恢复能力。虽然守则非强制法例，但实务上将成为合规验证的关键基准；专责办公室将与营运者建立伙伴关系，而非纯粹执法，这给企业更多空间主动准备。

对企业的挑战　解读三类责任的实务落地重点

首先，第 1 类责任（架构责任）：若营运者在香港持续设有办事处、须设立「计算机系统安全管理单位」，并委任具足够专业资历的人员负责持续监督及跨部门协调。《实务守则》建议主管具 CISSP、CISM 或等同经验，单位需确保政策执行及资源分配。对重度依赖信息系统的企业而言，挑战在于「持续监管」：在多云和大量办公软件或服务环境下，系统分散，管理单位需具备跨供货商的可见度。许多企业已有安全团队，但需正式化为明确责任、分工及监督机制的结构，避免流于形式。

其次，第 2 类责任（预防责任）：这是落地最繁重的一环。须提交经正式拟备的「计算机系统安全管理计划」；首年内完成「计算机系统安全风险评估」（其后每两年一次），需系统性识别潜在威胁和供应链风险，评估影响，发生机率来判定重要性，并处理残余风险；每两年安排「独立计算机系统安全审核」；「重大变更」方面，如组织变动、云端迁移、大规模升级或新第三方引入，须于 1 个月内通知专员。

企业常遇的痛点包括：风险评估深度不足——需涵盖威胁建模（Threat Modeling）、漏洞扫描（Vulnerability Scanning）、渗透测试（Penetration Testing）、供应链风险评估，如第三方系统漏洞，并量化影响。重大变更判定模糊——例如添加 SaaS 工具或 IaaS 工作负载迁移，是否影响关键计算机系统（CCS）可用性？《实务守则》要求评估对必要服务的潜在干扰，审核需具独立性，内部团队往往缺乏资源同时处理日常运作与合规相关事务。

最后，第 3 类责任（事故应对责任）：制定「应急计划」（Emergency Response Plan），涵盖事故管理、业务持续及灾难恢复；每两年至少参与一次「计算机系统安全演习」；「严重事故」须于知悉后 12 小时内通报专员，后续提交详细报告。

实战难点在于时效与实效：12 小时内的通报非常紧凑，需 24/7 监控及自动分类事件。演习不能只是桌面演练，需模拟真实攻击，测试恢复能力。OT/IT 融合环境（如数据中心 SCADA 与 IT 网络整合）更易出现盲点。

企业如何避免常见陷阱？三大实务建议

Louis 指出，首先，进行全面风险评估并了解有什么需要保护，量化风险程度。然后进行差距分析（Gap Analysis）：审查现有安全政策和技术控制，并利用风险评估材料、安全架构文件、监测程序及应变流程，对照《实务守则》找出缺口。这一步至关重要，能避免「文件齐全但实战失效」。

其次，制定 NIST 框架指标的应急计划：识别潜在事故类型、定义事件响应团队角色责任、通讯及升级程序、优先实施建议。同时融入零信任原则及 SASE 架构，强化混合工作环境的安全边界。

第三，强化持续能力：设立或优化 SOC（Security Operations Center）进行监测；规划定期进行紫队演习（Purple Team Exercise）；建立数码鉴证及取证（DFIR）机制。ISO 27001 认证企业可针对《条例》特定要求（如通报时限、演习频率、供应链可见度）进行强化工程，降低重复工作成本。

第一线作为AI+ 云网安一站式供货商，如何协助客户落地这些要求？

Louis 分享，第一线的优势在于「问诊 + 执药」一体化——从风险管理，差距分析到持续运作，形成死循环。我们的服务包括：

• 风险评估与审核：资深团队进行客制化风险管理系统和 Gap Analysis，涵盖文件审查、Threat modeling、供应链风险，输出符合守则的报告，支持首年评估及每两年独立审核。
• 计划制定：基于 NIST，协助开发经正式拟备的安全管理计划及应急计划，定义事故类型、角色、通讯程序及优先步骤。
• 事故应对：MDR（Managed Detection and Response）结合 24/7 SOC、先进威胁情报及 AI 检测，实现 12 小时通报及快速 MTTR（Mean Time To Respond/Recover），并支持 DFIR。
• 演习与建构：设计红蓝对抗演练、恢复测试及培训，协助建立管理单位及SOC能力。
• 技术强化：SASE / ZTNA / Secured SDWAN 提供统一网络安全及接入方案、MDR 及 IR 服务提供快速应对与恢复，CNAPP 提供统一云端威胁防护、支持重大变更防护及多云控制。

第一线已协助多家企业完成初步框架，帮助他们从「合规压力」转向「韧性优势」。

Louis 总结：「《条例》生效是香港数码防护的转折点。企业若及早准备，不仅能避免罚则，更能提升整体竞争力。合规不是负担，而是投资未来。若企业正评估受指定风险，或需专业支持制定计划、进行评估、演习或持续监控，欢迎联络第一线网络安全团队，一起探讨最适合的方案。」

第一线的一站式网络安全服务从各种网络安全评估、审计，以至制定安全管理计划及应变计划、信息安全解决方案实施及 SOC 安全托管服务等，由计划到执行，均能量身订制出合法合规的防护体系，助企业与新法例无缝衔接。而第一线的专家团队具备 CISSP、CISM、CREST、ISO27001 Lead Auditor、OSCP、CHFI 及 CIH 等国际安全专业认证，结合横跨各产业的实战经验，不仅有效分担企业 IT 维运压力，更能建构多层次防御架构，提升整体资安韧性。

如有兴趣了解更多，请在此与第一线网络安全专家联系：https://www.dyxnet.com/hk/get-in-touch/