通訊及新聞部長雅國博士指出,一些網安業者可在操作時掌握客戶網絡系統中的弱點,如果加以濫用,將擾亂客戶業務。
除了擁有關鍵信息基礎設施的公司企業外,本地中小型企業今後也能獲得更有保障的網絡安全服務。
昨天(2月5日)三讀通過的網絡安全法案規定進行電腦系統侵入測試和管理安全操作的公司、個人或第三方業者,今後均須申請執照才能提供服務。須申請執照的也包括人在國外,但有意在本地提供上述兩項服務的網安服務業者。
通訊及新聞部長雅國博士昨天在網絡安全法案提出二讀時說:“網絡安全風險如今逐漸擴散,對值得信賴的網安服務需求將相應增加。一些網安業者可在操作時掌握客戶網絡系統中的弱點,如果加以濫用,將擾亂客戶業務。一些小型公司也不知道哪些服務業者是具有道德或可信賴的。”
要求網安服務業者申請執照,可減少企業面對的風險,也有助小型公司獲得可靠的服務。
網絡安全局將在網上公布獲頒執照業者的名單,鼓勵企業聘用有執照者。企業也可向該局舉報無執照提供電腦系統侵入測試和管理安全操作的業者。違例者一旦罪成,可判坐牢最長兩年,罰款5萬元,或兩者兼施。
在推動業界發展和網安需求之間求平衡
除了提供上述兩項服務的業者,其他網安服務業者無需申請執照。多名議員昨天對此表達關注,擔心這可能對企業造成風險。
但雅國強調,這些業者雖無需申請執照,卻依然須遵循其他法律,如濫用電腦法令(Computer Misuse Act)。
雅國重申,執照框架是一項新措施,所以政府刻意采取“柔性監管”(light-touch)方針,以在推動業界發展和網安需求之間取得平衡。此外,由于網安服務國際化,要求每一名網安服務人員都申請執照存在現實挑戰。
當局只專注于提供電腦系統侵入測試和管理安全操作服務的業者,是因爲這類業者有機會接觸客戶的機密和敏感資料,進行的則是常見的主流業務,對本地整體網絡安全影響顯著。
在新的條例下,網安業者一旦不達標,可被暫停或吊銷執照。另外,他們也須記錄爲客戶提供的網安服務,包括執行工作的員工,並存檔至少三年,以便在出現犯罪行爲(foul play)時協助調查。
通訊及新聞部和網安局將就執照申請的推行細節收集業界意見。