法定責任
第1類 — 架構責任
目的:確保營運者有健全管理架構以執行必要的保護措施
- 在香港持續設有辦事處經營業務並提供最新的辦事處地址
- 就營運者變更通知當局
- 設立電腦系統安全管理單位並僱用擁有足夠知識的監管者
第2類 — 預防責任
目的:確保營運者採取措施防止遭受網絡攻擊
- 就關鍵電腦系統的重大變化通知當局
- 提交和實施電腦系統安全管理計劃
- 定期進行安全風險評估並提交報告
- 定期進行獨立安全審核並提交報告
第3類 — 事故通報及應對責任
目的:確保營運者迅速應對事故及還原系統
- 參與每兩年不多於一次電腦系統安全演習
- 提交和實行電腦系統安全事故應急計劃
- 就電腦系統安全事故通知當局
如屬嚴重事故*,須在得悉後12小時內作出通知(其他事故48小時內),並在得悉後14日內提交書面報告
*已干擾、正干擾或相當可能干擾關鍵基礎設施的核心功能
遵行責任的時限
關鍵基礎設施營運者遵行責任的時限
| 第1類 — 架構責任 | 時限 |
|---|---|
| 通知當局該香港辦事處地址 | 被指定後1個月內/變更後1個月內 |
| 變更營運者後盡快通知當局 | 1個月內 |
| 設立電腦系統安全管理單位,並委任一名擁有足夠知識的僱員作主管 | 被指定後1個月內/變更僱員後1個月內 |
| 第2類 — 預防責任 | 時限 |
|---|---|
| 就關鍵電腦系統的重大變化通知當局 | 1個月內 |
| 提交電腦系統安全管理計劃 | 被指定後3個月內/修改後1個月內 |
| 定期進行電腦系統安全風險評估 | 被指定後12個月內/其後每12個月至少1次 |
| 提交電腦系統安全風險評估後報告 | 評估限期後3個月內 |
| 定期進行電腦系統安全審核 | 被指定後24個月內/其後每24個月至少1次 |
| 提交電腦系統安全審核後報告 | 審核限期後3個月內 |
| 第3類 — 事故通報及應對責任 | 時限 |
|---|---|
| 參與專員舉辦的電腦系統安全演習 | 按專員的書面通知而定 |
| 提交電腦系統安全事故應急計劃 | 被指定後3個月內/修改後1個月內 |
| 知悉發生事故後通知當局: | |
|
12小時內 48小時內 |
| 知悉發生事故後,如並非以指明格式及方式通知當局,須以指明格式及方式通知當局 | 通知當局後48小時內 |
| 提交事故的書面報告 | 知悉事故後14日內 |
*已干擾、正干擾或相當可能干擾關鍵基礎設施的核心功能