關鍵基礎設施
關鍵基礎設施是社會及經濟命脈,對維持社會正常運作攸關,因此必須保障其電腦系統安全。《條例》涵蓋以下兩大類關鍵基礎設施:
第一類: 持續地在香港提供必要服務的基礎設施
這類設施涉及社會日常生活必需的服務,如服務遭干擾、破壞或長時間無法使用,會嚴重影響社會日常生活和運作。《條例》規管以下八個界別:
- 能源
- 資訊科技
- 銀行及金融服務
- 航空運輸
- 陸路運輸
- 海上運輸
- 醫護服務
- 電訊及廣播服務
第二類: 維持關鍵社會或經濟活動的基礎設施
這類設施一旦遭到破壞、喪失功能或數據泄漏,可能會妨礙或嚴重影響香港重要社會和經濟活動的運作。例子:
- 大型體育場地
- 大型表演場地
- 科研園區
由於政府內部已有《政府資訊科技保安政策及指引》,並參照最新國際標準及業界良好作業模式制定,因此《條例》不涵蓋政府部門。
確定關鍵基礎設施
在確定某基礎設施是否屬關鍵基礎設施時,當局考慮的因素包括:
- 基礎設施所提供的服務種類
- 如基礎設施遭到破壞、喪失功能或泄漏數據時,對維持香港的關鍵社會或經濟活動方面,造成阻礙或其他重大的影響
- 該當局認為相關的任何其他事宜
例子:能源界別的發電廠
關鍵基礎設施營運者(「營運者」)
在考慮指定某機構為營運者時,當局考慮的因素包括:
- 該基礎設施的核心功能,對電腦系統的依賴程度
- 該基礎設施所控制的數碼資料的敏感性
- 對該基礎設施的運作及管理的控制程度
例子:電力公司
關鍵電腦系統
在考慮指定某電腦系統為關鍵電腦系統時,當局會考慮該電腦系統:
- 能否被營運者可在香港或從香港接達
- 在有關基礎設施的核心功能方面,擔任甚麼角色
- 如受到干擾或損毀,該核心功能會如何受影響
- 與營運者的其他電腦系統的相關程度
- 與其他營運者的電腦系統的相關程度
- 該當局認為相關的任何其他事宜
例子:供電系統、監測系統
規管對象
只有根據《條例》被指定為營運者的機構,及被指定為關鍵電腦系統的電腦系統才會受《條例》規管。