政府部门用个人电邮即时通讯指?x??紧 指三类程式有重大保安风险 须首长批准(组图)

发布 : 2024-8-05  来源 : 明报新闻网


用微信扫描二维码,分享至好友和朋友圈

图为政府总部。在政府4月更新的资讯科技保安指引下,受聘政府的人员在使用个人电邮或桌面版即时通讯软件要事先获批准,员工也需要参与部门指定的保安培训。(资料图片)





【明报专讯】政府4月更新规管各部门的资讯科技保安规定,本报留意到,指引中称政府雇员「使用个人网络邮件、公共云端储存和网络版即时通讯服务会带来重大保安风险」,要求只在有真正需要和合理理由、且获部门首长批准,才可使用三类程式。指引同时规定,部门也应设定网页过滤等措施,防止未经授权使用三类程式。若指引实施,公务员要使用办公室的电脑桌面版WhatsApp、微信、Google旗下Google drive、Gmail等,或须事先批准。

明报记者 孙泽芳 林励

政府:指引4月公布 部门须半年内采措施

政府发言人回覆本报查询时说,更新版指引在4月公布,各决策局或部门须在6个月内采取措施,或制订实施计划,数字办会提供适切技术建议和支援。发言人称,面对网络威胁持续,一定要做好防范工作,各政策局及部门继续负起应有责任,继续落实新一轮更新的《政府资讯科技保安政策及指引》规定。

分析:规定早见于私人市场 惟很难一刀切

电脑安全研究员赖灼东说,类似规定早见于私人市场,如国际银行「限得好紧」,但认为很难「一刀切」要求政府雇员不用在办公室电脑用即时通讯软件,认为当局可研究用企业版本程式,或用政府提供的手机才使用部分程式。他又提醒,年初外泄资料问题主要源于外判的本地云端平台供应商问题,认为政府应研究是否应更换或限制使用肇事公司,或更换可信度高一点的品牌,不能贪平。

多个政府部门及公私营机构接连发生资讯保安事故,当中年初多个部门因本地云端储存服务供应商问题,导致包括市民资料外泄。政府资科办(现数字政策办公室)在4月更新订下「强制性基本保安要求」的《基准资讯科技保安政策》,及制定相关实施标准的《资讯科技保安指引》。两套文件规管政府聘用的公务员及非公务员。

当中,《指引》提醒使用个人电邮、云端及网络版即时通讯程式可能导致未经授权披露敏感资料或资料外泄,新增部门须定期审慎检视(critically review)使用三类程式的必要性,并在获部门首长批准,人员才可授予权限使用;不再需要时应立即撤销权限。

政府发言人解释,由于网页版即时通讯程式可能增加资安风险,包括未经授权传输档案、误击诈骗网站连结等,故引入保安规定。发言人补充,若政府人员以部门提供的流动电话接达即时通讯程式,不需要事先获批准。

门槛降低至「意识」到保安事故则通报

政府在两份指引中也修订或收紧部分资安规定,例如保安事故通报将「确定」事故才通报,门槛降低至「意识」到事故。事故应变计划中,加入「与持份者和公众的沟通计划」的内容。数字办正积极筹备在下半年举行网络安全攻防演练,加强决策局、部门管理层及技术人员培训等。

在云端储存方面,《指引》提醒在部门与云端服务供应商签署协议前,须确保明确界定及记录双方共同责任,但「资讯系统的整体问责仍然归决策局/部门所属」。

指引对政府内部人员责任或角色的表述也有类似更新,例如《指引》说「积极培养深厚的保安文化,对于提升决策局/部门的保安态势、降低风险、遵行法规,以及在整个政府内建立一个具复原能力和可信赖的环境,是至关重要的」。

■明报报料热线:inews@mingpao.com / 9181 4676