護關鍵電腦系統 擬准索生產供應商資料 曾提「採購考慮國安」 《守則》最新擬稿：應採多元開源零部件

【明報專訊】政府規管關鍵基礎設施及其電腦系統的專屬法例明年生效，據本報了解，當局近月向業界發出《實務守則》最後擬稿，說明受規管企業、機構如何履行新法例要求。據知，《守則》提及當局可向受管制營運者，索取包括涉及核心功能的電腦系統結構、處理敏感資料性質及數量、網絡圖、軟硬件生產商名單及電腦系統型號、資訊科技及電訊服務供應商資料等，以判斷是否屬關鍵電腦系統。

明報記者 林勵

可索系統結構型號

另外，保安局早前稱營運者「在採購時考慮國家安全風險和制裁風險」，最新《守則》則稱，營運者可視乎評估地緣政治及供應鏈風險，應採用多元或開源（open source）零部件，未直接提「國家安全」。

立法會今年通過《保護關鍵基礎設施（電腦系統）條例草案》，保安局轄下會設有「專責辦公室」及專員負責執行法例，納入規管的屬8個界別公司或機構如能源、銀行、交通、電訊等企業或機構，例如電力公司，而納入的營運商要按法例檢視其電腦系統保安，系統須符合法例規定的營運標準，例如面對嚴重事故在12小時內通報、通報電腦系統的重大改變，制定相關保安計劃，以及做評估和參與政府演習。新例2026年1月生效，保安局本月就新例向業界發出《實務守則》最後擬稿（部分見表）。

保安局：交立會版本僅作說明用途

保安局回覆查詢時說，當時提交立法會文件中的《實務守則》概要「僅作說明用途」，《守則》的確實內容會在法例生效後及適當諮詢相關持份者後，由規管當局制定。

政府提出立例時，營運商採購環節受關注，當局曾提出企業採購電腦系統時，應要考慮「制裁」因素。最新《守則》擬稿提及，關鍵基建營運者應制定程序，管理供應鏈中的電腦系統安全風險，包括辨識及記錄電腦系統的關鍵零部件。《守則》續說，可視乎評估的供應鏈風險及地緣政治風險層級，營運者在適當情况下，應採用多元來源或開源的關鍵電腦系統零部件，有助避免過分依賴單一或少數供應商。《守則》也提及，營運商指定政策或指引時，應考慮自身要求、行業規則及適用國家及國際電腦系統保安準則。

業界讚減額外成本 保採購彈性

香港通訊業聯會回應說，新《守則》適合採購風險管理的核心要求，即在確保不違反國家安全且不受制裁的前提下，回歸法例保障關鍵網絡安全的原意，也貼近業界在全球化供應鏈下的慣常做法。聯會說，《守則》讓業界能基於最能滿足本身要求的方案採購，有助減少因局限選擇所衍生的額外合規成本，對此表示歡迎。

網絡安全諮詢機構Syber Couture行政總裁黃迪奇說，《守則》目前寫法提供一定彈性，讓企業自行衡量後採購，料可銜接企業內部要求，也解決業界擔心法例一生效就要指定購買某來源的產品，缺乏其他選擇。

在處理嚴重系統保安事故中，《守則》提及7種情况，包括影響關鍵基建核心功能的停機時間、服務水平、是否有大量客戶資料外泄，或有人威脅攻擊系統等，純粹技術故障、停電、已及時處理的保安威脅或人為錯誤的資料外泄，並不構成保安系統事故。

《守則》第一章並重申，條例並不針對營運商持有個人資料或商業秘密。

保安局則重申《守則》並非附屬法例，關鍵基礎設施營運者不遵從《守則》本身不構成罪行，若營運者未遵從《守則》而規管當局發出書面指示，營運者不遵從指示才算犯罪。

日報新聞-相關報道：

數次修訂 部分放寬 未能符要求可用替代措施 (2025-11-24)