香港首條網絡安全法例《保護關鍵基礎設施（電腦系統）條例》（下稱《條例》）將於明年 1 月 1 日實施，涵蓋能源、金融、醫療、運輸、廣播服務及資訊科技等八大關鍵行業。面對新例要求，相關營運者需緊急審視現有系統安全措施，避免因違規面臨高達 500 萬港元的罰款！我們今次請來「AI +雲網安」服務供應商第一線 DYXnet 的網絡安全專家鍾而政（Louis）提供行動指南，助受監管的企業或機構了解如何透過一系列的合規評估及措施，實現資訊安全升級。

三大核心責任：架構、預防、應變

《條例》清楚要求受監管的營運者履行架構、預防、應變三類責任，Louis 指出：「目的是確保關鍵基礎設施系統安全，防止因電腦系統安全事故造成核心營運損害，影響到社會及經濟層面。」他遂指出三類責任的內容細節：首先，針對架構方面的責任，受監管企業或機構須建立完善的電腦系統安全管理架構，設立由合資格人士領導的專責團隊，負責監督關鍵電腦系統的資訊安全運作。其次，在威脅預防與持續評估方面，企業或機構須於法例生效指定日後 3 個月內提交並實施電腦系統安全管理計劃，包括事故應急計劃，並在首年完成安全風險評估報告，後續每 2 年進行系統審核；若其架構或電腦系統出現重大變更，亦須於 1 個月內通報監管機構。

此外，針對事故通報與應變，如遇影響營運或涉及個人資料洩漏的嚴重事故，則要在知悉事故發生 12 小時內迅速通報，並提交事故紀錄及報告。為確保應變能力，企業或機構每 2 年至少須進行 1 次安全演習，模擬真實攻擊情境，測試團隊的應對效率。

分階段合規策略　一站式「問診 + 執藥」萬無一失

為免受罰，就要交齊功課！但應該如何入手？Louis 以「問診+執藥」作比喻，提出分階段合規策略，「在『問診』階段，首先可以進行合規性評估（Compliance Assessment），快速對照現有措施與《條例》的差距。此外，可透過網絡安全風險評估（Cybersecurity Risk Management）及第三方風險管理（Third-Party Risk Management），全面識別系統、資訊，以及供應鏈風險，釐清潛在威脅與可能造成的損失。進入『執藥』階段，企業或機構就可對症下藥，根據評估結果制定針對性防護策略，強化雲端安全、供應鏈管理、遠端存取控制等關鍵環節，填補合規缺口。」Louis 強調，將「問診」及「執藥」交給同一個服務供應商執行，能確保措施連貫性，避免因溝通落差導致合規漏洞。

事件報告與回應方面，旨在快速應對網絡安全事故及降低對服務的影響，因此需要做好緊急應變計劃（Incident Response Plan）及營運持續管理（Business Continuity Management），即使遇上事故亦可減少損失並快速恢復營運，維持服務連貫性。

差距分析：企業的合規捷徑

對於一些已取得 ISO 27001 資訊安全管理系統認證的企業或機構，Louis 指出：「他們已有一定的安全控制和流程來保護其系統和所擁有的敏感資料，其實此認證的要求與《條例》有不少重疊的部分，企業只需進行合規性評估，針對剩餘差異強化措施，可大幅降低合規性的成本與時間。」這項分析能幫助企業精準掌握需補強的環節，例如事件通報時效、演習頻率等，避免重複投入資源。在事故應變計劃，亦可參考 NIST 的框架，分類嚴重及一般事故，迅速排除及應對事故，這是合規關鍵。

《條例》實施在即，受監管的營運者應立即行動，借助專業服務供應商完成評估與升級，避免因延誤影響營運合規性。第一線的一站式網絡安全服務從各種網絡安全評估、審計，以至制定安全管理計劃及應變計劃、資訊安全解決方案實施及 SOC 安全託管服務等，由計劃到執行，均能量身訂制出合法合規的防護體系，助企業與新法例無縫銜接。而第一線的專家團隊具備 CISSP、CISM、CREST、ISO27001 Lead Auditor、OSCP、CHFI 及 CIH 等國際安全專業認證，結合橫跨各產業的實戰經驗，不僅有效分擔企業 IT 維運壓力，更能建構多層次防禦架構，提升整體資安韌性。

如有興趣了解更多，請在此與第一線網絡安全專家聯繫：https://www.dyxnet.com/hk/get-in-touch/