公共機構數據安全檢討委員會主席、國務資政兼國家安全統籌部長張志賢表示,當局將盡最大努力減少數據泄露的風險,但無法完全消除威脅。不過,當這類泄露事故發生時,當局會偵測到並迅速有效地反應,以限制泄露範圍和所造成的傷害。
經過八個月檢討,公共機構數據安全檢討委員會前天向李顯龍總理提呈報告,建議公共部門應從技術流程、人事管理和治理架構,多管齊下地提升數據安全,盡力避免公衆的個人資料外泄,並在泄露事故發生時,盡早偵測和做出反應。
根據總理公署文告,李總理已致函委員會,表示政府將全盤接受所有建議。李總理在信函中說:“數據是數碼經濟和數碼政府的命脈。我們需要盡可能充分地使用和共享數據,以提供更好的公共服務。”
“在這個過程中,我們也須保護數據安全和維護個人隱私,同時不能扼殺數碼創新。這對醫療保健領域尤其重要,但政府其他領域也是如此。”
公共機構數據安全檢討委員會(簡稱委員會)的成立,事緣過去兩年的幾次數據泄漏事故,尤其是去年的新保集團網襲事件。爲全面檢討公共服務領域的數碼安全政策,李總理今年3月底任命這個高級別委員會,由國務資政兼國家安全統籌部長張志賢擔任主席。
過去八個月,委員會抽查了94個政府機構的336個系統,以找出潛在風險和數據事故的常見原因。結果顯示,64%的機構被評爲低風險、23%被評爲中等風險,其余13%則被評爲高風險。尤其是較小的政府機構,在落實數據保護措施上需要更多支持,因爲它們擁有較小的資訊科技(IT)團隊和較少資源。
根據報告,委員會的建議可歸爲五大重點:一、提升數據保護和預防資料外泄;二、迅速偵測和解決泄漏事故;三、提升公務員保護數據的意識和能力;四、完善問責制度;五、加強治理架構以應對未來數碼需求。
其實,委員會在報告未出爐前,已在7月提前向政府建議13項技術解決方案,例如爲更多文件加密,或在公務員發送含敏感數據的電郵前發出警示。這些都屬預防性措施,涵蓋在第一項建議中。
委員會昨天召開記者會,張志賢致開場白時指出:“盡管我們將盡最大努力減少數據泄露的風險,但我們無法完全消除威脅。當這類泄露事故發生時,我們會偵測到並迅速有效地反應,以限制泄露範圍和所造成的傷害。”
設中央聯系點方便公衆舉報
因此,委員會的建議還包括制定一套作業框架,迅速通知受數據泄露影響的人士;樹立標准的事後調查流程,如列明在哪些情況下會召開獨立調查委員會;以及在調查結束後與其他機構分享學習重點。
公衆日後也能更直接地舉報數據泄露事故。政府數據署(Government Data Office)將設立中央聯系點,以免公衆對于要向哪個機構舉報感到混淆。
除了技術與流程,人爲因素也是委員會探討的重點。張志賢強調,在數據的共享與使用方面,公務員不應只是遵規守紀,也須追求卓越,如保持警覺和相互提醒。
政府也將強化現有問責框架,例如將數據安全涵蓋在各政府機構的關鍵績效指標(KPI)中,並向公務員重申數據泄露的嚴重後果。政府所設的高標准,也適用于處理政府數據的非政府機構和非公務員,如供應商和承包商。
與此同時,網絡威脅不斷演進,爲確保公共機構的數據安全檢討工作是持續性的,政府也設立和委任新部門,繼續推動這方面的努力。
委員會指出,從建議中可看出,公共機構須遵循的要求和標准不亞于私人領域。張志賢說:“這些措施將大大加強保障並向公務員問責。它們可媲美國際和行業最佳做法(best practices)。”
政府會在2021年底前,在八成的政府系統落實委員會提出的技術措施,其余兩成的系統則因過于複雜或需要重新設計,將在2023年底前才采納。
公共機構數據安全檢討委員會五項建議
一、提升數據保護和預防資料外泄
二、迅速偵測和解決泄漏事故
三、提升公務員保護數據的意識和能力
四、完善問責制度
五、加強治理架構以應對未來數碼需求