为了应对日益猖獗的网络攻击事件,香港日前正尝试对网络安全进行全面立法。7月初,香港政府向安全事务委员会提交了一项立法提案,以规范关键基础设施运营商的网络安全义务,并于2024年7月2日进行了咨询。在委员会咨询之后,政府将在一个月的时间内进一步与相关行业部门就立法提案进行咨询。根据当前的时间表,相关法案已被纳入2024年立法计划。这标志着香港首部网络安全立法即将出台。
近日,香港政府公布了拟议的监管关键基础设施运营商 (CIO) 和关键计算机系统 (CCS) 的新框架。
该提案是在亚洲网络安全发展浪潮中提出的,其中包括泰国和新加坡的新规定。香港的提案将与其他监管关键基础设施的司法管辖区保持一致,比如中国大陆、澳大利亚和美国等。
香港网络安全框架建议的主要内容
此次拟议的框架旨在确保首席信息官和CCS以安全可靠的方式运作,同时将在保安局下设立一个新的专员办公室,专门负责监督这些条例的执行。
该办公室将有权调查事件、发布指南和进行检查。该框架的关键要素包括:
适用范围:该框架适用于 CIO 和 CCS,它们被定义为拥有、控制或使用关键计算机系统的组织。最初的八个指定部门包括能源、信息技术、银行和金融服务、陆路运输、航空运输、海事、医疗保健服务以及通信和广播。
义务:首席信息官将被要求在香港维持一个地址和办公室,建立专门的网络安全团队,向专员办公室通报CCS的重大变化,并定期进行安全审计和风险评估。他们还将被要求参加安全演习并提交应急响应计划。
首席信息官将面临三大类义务:
- 组织:在香港设立办事处,并建立专门的网络安全团队。
- 预防性:提交安全管理计划,并定期进行风险评估和审计。
- 事件报告和响应:参加安全演习,并在规定的时间内将事件通知当局。
与其他司法管辖区的比较
拟议的框架与新加坡和中国现有的网络安全法规有相似之处。例如,这两个司法管辖区都要求首席信息官定期进行安全风险评估和审计。但是,也存在一些关键差异,例如安全演练和事件报告的频率和时间。
图源:www.mayerbrown.com
挑战、不确定性和未解决的问题
虽然拟议的框架为网络安全提供了全面的方法,但仍有一些未解决的问题,并且对新立法提出了许多问题:
合规时间表:在被指定为 CIO 或 CCS 后,组织可能只有六个月的时间来实施所需的措施。这可能具有挑战性,特别是对于需要更多时间进行组织变革的大型实体而言。
行业定义:哪些组织将属于某些指定行业,尤其是“信息技术”类别,存在不确定性。
第三方提供商:该框架对服务提供商和首席信息官的影响尚不清楚,因为其中一些人本身可能被指定为关键基础设施运营商。
人才短缺:利益相关者对难以雇用称职的网络安全人员以满足新要求表示担忧。
政府计划在 2024 年底之前提出一项法案,该立法预计将于 2025 年底或最迟于 2026 年年中生效。随着香港推进这项倡议,平衡安全需求与运营可行性将是其成功的关键。
参考来源:https://thecyberexpress.com/hong-kong-first-cybersecurity-legislation/
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022