嚴重事故通報時限擬放寬至12小時 接納口頭形式

【明報專訊】保護「關鍵基礎設施電腦系統」安全條例最快今年底提交立法會審議，保安局立法框架早前建議，一旦發生嚴重電腦系統保安事故，機構營運者須在得悉事故發生兩小時內通報專責辦公室，其他事故則要在24小時內通報。局方昨日稱理解實際困難，擬分別放寬通報嚴重事故及其他事故時限至12小時及48小時。局方考慮賦權新成立的專責辦公室，在關鍵系統已經或可能受干擾或服務中斷時，主動向營運者調查事故原因，確定是否由攻擊引致。

公營機構涵否 保安局：機構為本

被問到專辦向營運者了解事故成因，是否已符合通報要求，保安局發言人昨稱，接受以電話口頭或電郵形式通報；若營運者回應專辦主動調查成因，某程度上已符合通報要求；除非事故相對複雜，而專辦調查時未有涵蓋所有涉及事故，營運者或需再主動通報。

立法框架建議，規管擬涵蓋八大界別關鍵基礎設施營運者，及維持重要社會和經濟活動的基礎設施。被問到公營機構是否涵蓋，局方發言人重申採取「機構為本」原則，視乎某機構對關鍵基礎設施控制程度等，若符合定義亦可能受規管。至於會否仿效私隱專員公署每年發表年報，發言人指法例暫無要求相關安排；基於安全理由不會公開受規管對象名單，避免遭「立心不良」者針對攻擊，惟法例無禁止營運者公開被規管，後者做法不涉違規。

營運者不再須報告「擁有權」變更

局方引述業界，認為難以經常報告關鍵基礎設施「擁有權」的變更，尤其是上市公司。發言人稱理解實際困難，擬移除相關要求，營運者僅需就「營運權」向專辦報告。至於要求營運者至少每兩年一次參與電腦系統安全演習，發言人認為已參考國際標準釐定，有關要求合適。