香港《保護關鍵基礎設施(電腦系統)條例》(第653章)於2025年3月19日通過,並將於2026年1月1日生效。該條例適用於在八個界別提供「必要服務」的營運者(能源、資訊科技、銀行/金融、空運、陸運、海運、醫療保健、通訊及廣播)以及其他被指明的基礎設施(例如大型場館、研發園區等)。
在新法例下,被「指定營運者」必須:
• 成立電腦系統安全管理部門,於被指定後三個月內提交安全管理計劃,並每年進行風險評估,及每兩年由獨立第三方進行審計。
• 維持應急響應計劃,並參與政府主辦的演習(至少每兩年一次)。
• 通報事故:若核心功能被中斷或可能被中斷,須於12小時內通知;其他事故於48小時內;並於14天內提交書面報告。
• 不遵從法律規定者,可被罰款最高達港幣五百萬元。
FileCloud 是一個企業級的檔案共用、同步、備份及內容協作平台,讓機構能掌控其資料。
以下為其主要功能:
• 讓用戶透過網頁、桌面應用程式及手機應用程式,在不同裝置間存取、分享及同步檔案。
• 支援不同部署模式:本地部署(由機構自設伺服器)、全面雲端託管(即 SaaS)、或混合模式。
• 提供強大的安全性與合規工具:傳輸與靜態資料加密,存取控制,工作流程自動化(workflow automation),防止資料外洩,及符合監管要求(例如 GDPR、HIPAA 等)。
• 可與現有 IT 基礎設施整合,如網絡檔案共享/NTFS 資料夾、身份認證系統(例如 Active Directory),令機構可在不完全更新整個系統的情況下現代化檔案存取。
FileCloud 如何對應法例義務?
預防性控制(計劃、評估、審計)
• 在香港本地或私有雲端部署 → 確保資料儲存地點及對基礎設施與加密金鑰的全面控制(有助於制訂安全管理計劃)。
• 身份與存取安全 → SSO/SAML/OIDC/Active Directory,強制多因素認證(MFA),使用最少權限的存取控制(RBAC),IP 白名單,裝置批准,會話終止。
• 資料保護 → 傳輸中及靜態皆加密,智能資料外洩防護規則(例如封鎖/允許、加水印、限制分享),智能內容分類/加 metadata,保留政策/合法保留權/不可變性功能。
• 威脅預防 → 通過 ICAP 整合 AV/CDR;將 FileCloud 的事件連接到你的 SIEM/EDR 作持續監控。
• 審計證據 → 可匯出的配置報告及詳盡的審計日誌(包括管理員、用戶、檔案、分享等),以支援每年風險評估及兩年一度獨立審計,符合法例要求。
事故準備與通報(12小時/48小時/14天)
• 實時警報與 webhook 通知至 SIEM/Microsoft Teams/Slack;備有法證準備的審計追蹤,以迅速確定事故範圍及影響。
• 一鍵遏制模式:凍結公眾連結、隔離共享內容、封鎖外部域名、撤銷 token/裝置、執行 IP 隔離/邊界規則。
• 應對流程手冊(runbooks):上述 FileCloud 的緊急應變行動可直接納入法例所要求的應急響應計劃中。
韌性
• 高可用性/災難復原(HA/DR)架構及多地點複製選項,以支援關鍵服務的持續運作。
90天「備戰」清單(實用)
距離新條例生效只剩三個月,以下為營運者建議即應採取的行動:
- 架構與駐地:選擇在香港本地部署或私有雲;記錄網絡區域及管理邊界(供安全計劃之用)。
- 基礎硬化:強制 MFA/SSO,最少權限存取(RBAC),IP 白名單,裝置批准,嚴格密碼與雙重驗證政策。
- 分類與資料外洩防護(DLP):根據所屬界別定義「關鍵」資料類型;制定封鎖規則(外部分享、下載)及水印。
- 監控:將 FileCloud 的日誌傳送至 SIEM;啟用警示/webhooks 監測異常活動。
- 應急響應:撰寫及測試 FileCloud 的遏制步驟;將其納入你的應急響應計劃;安排桌面演練。
- 評估與審計:進行年度風險評估;準備兩年一度獨立審計所需的證據包(配置、日誌、報告)。
- 事故通報:設定內部服務水平協議(SLA)以在 12 小時/48 小時內作出通報;確保可從 FileCloud 日誌/報告中編撰 14 天內的敘述性報告。
我們 Amidas 是安全與企業方案領導者,擁有豐富經驗提供度身訂造的解決方案以滿足企業需求。歡迎聯絡我們,獲取免費諮詢,探討你的電腦系統在關鍵基礎設施(電腦系統)條例下的合規準備情況。
與我們聯繫以了解更多:
電話:2168 0388
Whatsapp: 9828 3401
電郵:[email protected]
