法定责任
第1类 — 架构责任
目的:确保营运者有健全管理架构以执行必要的保护措施
- 在香港持续设有办事处经营业务并提供最新的办事处地址
- 就营运者变更通知当局
- 设立电脑系统安全管理单位并雇用拥有足够知识的监管者
第2类 — 预防责任
目的:确保营运者采取措施防止遭受网络攻击
- 就关键电脑系统的重大变化通知当局
- 提交和实施电脑系统安全管理计划
- 定期进行安全风险评估并提交报告
- 定期进行独立安全审核并提交报告
第3类 — 事故通报及应对责任
目的:确保营运者迅速应对事故及还原系统
- 参与每两年不多于一次电脑系统安全演习
- 提交和实行电脑系统安全事故应急计划
- 就电脑系统安全事故通知当局
如属严重事故*,须在得悉后12小时内作出通知(其他事故48小时内),并在得悉后14日内提交书面报告
*已干扰、正干扰或相当可能干扰关键基础设施的核心功能
遵行责任的时限
关键基础设施营运者遵行责任的时限
| 第1类 — 架构责任 | 时限 |
|---|---|
| 通知当局该香港办事处地址 | 被指定后1个月内/变更后1个月内 |
| 变更营运者后尽快通知当局 | 1个月内 |
| 设立电脑系统安全管理单位,并委任一名拥有足够知识的雇员作主管 | 被指定后1个月内/变更雇员后1个月内 |
| 第2类 — 预防责任 | 时限 |
|---|---|
| 就关键电脑系统的重大变化通知当局 | 1个月内 |
| 提交电脑系统安全管理计划 | 被指定后3个月内/修改后1个月内 |
| 定期进行电脑系统安全风险评估 | 被指定后12个月内/其后每12个月至少1次 |
| 提交电脑系统安全风险评估后报告 | 评估限期后3个月内 |
| 定期进行电脑系统安全审核 | 被指定后24个月内/其后每24个月至少1次 |
| 提交电脑系统安全审核后报告 | 审核限期后3个月内 |
| 第3类 — 事故通报及应对责任 | 时限 |
|---|---|
| 参与专员举办的电脑系统安全演习 | 按专员的书面通知而定 |
| 提交电脑系统安全事故应急计划 | 被指定后3个月内/修改后1个月内 |
| 知悉发生事故后通知当局: | |
|
12小时内 48小时内 |
| 知悉发生事故后,如并非以指明格式及方式通知当局,须以指明格式及方式通知当局 | 通知当局后48小时内 |
| 提交事故的书面报告 | 知悉事故后14日内 |
*已干扰、正干扰或相当可能干扰关键基础设施的核心功能