《保護關鍵基礎設施（電腦系統）條例》（第 653 章，以下簡稱《條例》）自 2026 年 1 月 1 日正式生效已過兩個多月。關鍵基礎設施（電腦系統安全）專員辦公室（OCCICS）於同日發布通用《實務守則》（Code of Practice），能源界別專門守則亦於 1 月 28 日公布。此條例旨在強化香港關鍵電腦系統的安全防護，更有助提升整體數碼韌性，增強外資對香港作為國際金融及科技中心的信心。

隨著 AI 技術急速普及，2026 年的網絡安全危機正急劇升級。近年本地及全球網絡攻擊事件持續攀升，AI 已成為黑客強大的工具，能自動化目標偵察、生成高度逼真的釣魚內容、自主調整攻擊策略，甚至針對供應鏈漏洞發動大規模連鎖攻擊。AI 不僅加速攻擊的速度與規模，更放大供應鏈及關鍵基礎設施的風險；有預測顯示，錯誤配置的 AI 系統可能在不久將來導致關鍵服務自動中斷，帶來嚴重後果。這些趨勢令《條例》的三類責任更顯迫切——企業若不及早強化網絡防護，不僅面臨合規罰則，更可能在 AI 趨勢下放大的危機中遭受重大衝擊。

為深入了解條例生效後的實戰落地，第一線 DYXnet 網絡安全專家鍾而政（Louis），為大家帶來應對攻略。Louis 擁有逾 20 年雲端、網絡及網絡安全經驗，持有多項國際認證，曾領導多個關鍵基礎設施相關合規項目。他以第一線視角，為資訊科技、雲端服務、數據中心及相關企業提供行動指南，強調合規不僅是法定義務，更是企業提升競爭力的戰略投資。

Louis 表示，條例的核心是要求關鍵基礎設施營運者（簡稱 CIO）履行三類法定責任——架構、預防及事故應對，目的是減低網絡攻擊導致必要服務中斷的風險。由條例消息傳出以來，許多企業開始自問：「我們是否會被定義成 CIO？如果是的話，現在該從哪裡入手？」資訊科技界別及雲端營運者特別敏感，因為他們的系統往往是其他界別的「底層支撐」，一旦被指定，影響範圍廣泛。

通用《實務守則》參考 NIST SP 800 系列、ISO 27001 等國際標準，提供逾 200 項具體指引，涵蓋管治架構、風險管理、技術和政策控制、持續監測、改進，以及災害應變和恢復能力。雖然守則非強制法例，但實務上將成為合規驗證的關鍵基準；專責辦公室將與營運者建立夥伴關係，而非純粹執法，這給企業更多空間主動準備。

對企業的挑戰　解讀三類責任的實務落地重點

首先，第 1 類責任（架構責任）：若營運者在香港持續設有辦事處、須設立「電腦系統安全管理單位」，並委任具足夠專業資歷的人員負責持續監督及跨部門協調。《實務守則》建議主管具 CISSP、CISM 或等同經驗，單位需確保政策執行及資源分配。對重度依賴資訊系統的企業而言，挑戰在於「持續監管」：在多雲和大量辦公軟件或服務環境下，系統分散，管理單位需具備跨供應商的可見度。許多企業已有安全團隊，但需正式化為明確責任、分工及監督機制的結構，避免流於形式。

其次，第 2 類責任（預防責任）：這是落地最繁重的一環。須提交經正式擬備的「電腦系統安全管理計劃」；首年內完成「電腦系統安全風險評估」（其後每兩年一次），需系統性識別潛在威脅和供應鏈風險，評估影響，發生機率來判定重要性，並處理殘餘風險；每兩年安排「獨立電腦系統安全審核」；「重大變更」方面，如組織變動、雲端遷移、大規模升級或新第三方引入，須於 1 個月內通知專員。

企業常遇的痛點包括：風險評估深度不足——需涵蓋威脅建模（Threat Modeling）、漏洞掃描（Vulnerability Scanning）、滲透測試（Penetration Testing）、供應鏈風險評估，如第三方系統漏洞，並量化影響。重大變更判定模糊——例如添加 SaaS 工具或 IaaS 工作負載遷移，是否影響關鍵電腦系統（CCS）可用性？《實務守則》要求評估對必要服務的潛在干擾，審核需具獨立性，內部團隊往往缺乏資源同時處理日常運作與合規相關事務。

最後，第 3 類責任（事故應對責任）：制定「應急計劃」（Emergency Response Plan），涵蓋事故管理、業務持續及災難恢復；每兩年至少參與一次「電腦系統安全演習」；「嚴重事故」須於知悉後 12 小時內通報專員，後續提交詳細報告。

實戰難點在於時效與實效：12 小時內的通報非常緊湊，需 24/7 監控及自動分類事件。演習不能只是桌面演練，需模擬真實攻擊，測試恢復能力。OT/IT 融合環境（如數據中心 SCADA 與 IT 網絡整合）更易出現盲點。

企業如何避免常見陷阱？三大實務建議

Louis 指出，首先，進行全面風險評估並了解有什麼需要保護，量化風險程度。然後進行差距分析（Gap Analysis）：審查現有安全政策和技術控制，並利用風險評估材料、安全架構文件、監測程序及應變流程，對照《實務守則》找出缺口。這一步至關重要，能避免「文件齊全但實戰失效」。

其次，制定 NIST 框架指標的應急計劃：識別潛在事故類型、定義事件回應團隊角色責任、通訊及升級程序、優先實施建議。同時融入零信任原則及 SASE 架構，強化混合工作環境的安全邊界。

第三，強化持續能力：設立或優化 SOC（Security Operations Center）進行監測；規劃定期進行紫隊演習（Purple Team Exercise）；建立數碼鑑證及取證（DFIR）機制。ISO 27001 認證企業可針對《條例》特定要求（如通報時限、演習頻率、供應鏈可見度）進行強化工程，降低重複工作成本。

第一線作為AI+ 雲網安一站式供應商，如何協助客戶落地這些要求？

Louis 分享，第一線的優勢在於「問診 + 執藥」一體化——從風險管理，差距分析到持續運作，形成閉環。我們的服務包括：

• 風險評估與審核：資深團隊進行客製化風險管理系統和 Gap Analysis，涵蓋文件審查、Threat modeling、供應鏈風險，輸出符合守則的報告，支援首年評估及每兩年獨立審核。
• 計劃制定：基於 NIST，協助開發經正式擬備的安全管理計劃及應急計劃，定義事故類型、角色、通訊程序及優先步驟。
• 事故應對：MDR（Managed Detection and Response）結合 24/7 SOC、先進威脅情報及 AI 檢測，實現 12 小時通報及快速 MTTR（Mean Time To Respond/Recover），並支援 DFIR。
• 演習與建構：設計紅藍對抗演練、恢復測試及培訓，協助建立管理單位及SOC能力。
• 技術強化：SASE / ZTNA / Secured SDWAN 提供統一網絡安全及接入方案、MDR 及 IR 服務提供快速應對與恢復，CNAPP 提供統一雲端威脅防護、支援重大變更防護及多雲控制。

第一線已協助多家企業完成初步框架，幫助他們從「合規壓力」轉向「韌性優勢」。

Louis 總結：「《條例》生效是香港數碼防護的轉捩點。企業若及早準備，不僅能避免罰則，更能提升整體競爭力。合規不是負擔，而是投資未來。若企業正評估受指定風險，或需專業支援制定計劃、進行評估、演習或持續監控，歡迎聯絡第一線網絡安全團隊，一起探討最適合的方案。」

第一線的一站式網絡安全服務從各種網絡安全評估、審計，以至制定安全管理計劃及應變計劃、資訊安全解決方案實施及 SOC 安全託管服務等，由計劃到執行，均能量身訂制出合法合規的防護體系，助企業與新法例無縫銜接。而第一線的專家團隊具備 CISSP、CISM、CREST、ISO27001 Lead Auditor、OSCP、CHFI 及 CIH 等國際安全專業認證，結合橫跨各產業的實戰經驗，不僅有效分擔企業 IT 維運壓力，更能建構多層次防禦架構，提升整體資安韌性。

如有興趣了解更多，請在此與第一線網絡安全專家聯繫：https://www.dyxnet.com/hk/get-in-touch/