揭秘2025年香港金融與醫療網絡安全新規

專責辦公室的成立與組織架構

根據2025年7月香港立法會通過的《保護關鍵基礎設施（電腦系統）條例》，專責辦公室將於2026年1月1日成立，監管包括金融與醫療在內的多類關鍵基礎設施電腦系統安全。辦公室編制共32人，由不同專業人員組成，包括：

• 1名關鍵基礎設施（電腦系統安全）專員（首長級薪級第3點）
• 2名副專員（分別為首長級薪級第1點及警務人員薪級第55點，負責合規及行動）
• 11名從警務處借調的警務人員
• 12名電腦科技專業人員
• 2名法律專業人員
• 4名行政文職人員

此結構設計確保辦公室具備應對網絡安全事件的專業能力及有效跨部門協調溝通。特別是在2025年的全球網絡攻擊趨勢不斷升溫的背景下，此組織架構能快速反應並深入調查，提升事件應變效率。

專責辦公室的主要法定職責

專責辦公室依據《條例》承擔下列三大職責：

1. 架構管理職責

• 營運者需建立電腦系統安全管理單位，安排專責主管維護系統安全；
• 應於指定時間內通報辦事處地址及營運者變更。

這不僅確保日常營運符合安全標準，也強化對關鍵設施人員及流程的透明度。

2. 預防與監督職責

• 營運者須提交並定期更新安全管理計劃；
• 定期執行網絡安全風險評估及委託獨立安全審核；
• 回報關鍵系統重大變更。

例如，金融機構需針對新推出的線上理財平台進行全面風險評估，確保不存在安全漏洞，減少詐騙事件。

3. 事故通報與應變職責

• 提交並演練應急計劃，確保緊急應對能力；
• 在法定期限內通報系統安全事件，如未經授權的入侵或攻擊；
• 配合調查及後續補救措施。

一旦發生勒索軟件攻擊，營運者須迅速通報專責辦公室，並依照既定程序啟動應急措施，降低潛在損失。

上述措施協助營運者建立系統性的管理機制，提升關鍵設施持續且安全運作，特別是在網絡安全事件日益複雜的現今環境中更顯重要。

外部服務提供商的監管措施

隨著2025年數字化及雲端技術應用增加，金融和醫療機構普遍採用外部技術服務。專責辦公室規範包括：

• 要求與外包供應商及雲端服務簽訂具備安全責任條款的合約；
• 持續監督外部服務的合規性與安全表現，降低供應鏈風險；
• 確保外部服務提供商符合香港法律及安全標準。

例如，醫療機構在採用第三方患者資料管理系統時，必須確保該系統符合香港個人資料（私隱）條例及最新網絡安全標準，避免資料洩露。此外，辦公室定期檢視外部供應商的安全狀態，推動其落實漏洞修補與安全更新，減少因供應鏈不當管理而引發的風險。

此舉有助保障金融數據及醫療信息的完整性和私隱，並促使產業內形成更具韌性的合作生態。

數據安全及隱私保護措施

《資訊技術安全指南2025年最新版》中提出多項防護措施，如：

• 建立敏感資料分類及訪問控制政策，僅授權必要人員存取；
• 採用加密技術保護敏感數據的傳輸與儲存；
• 實施定期資料備份，支持系統在遭受攻擊後的快速恢復；
• 嚴格密碼管理以防止弱密碼及密碼共享；
• 持續進行漏洞掃描和修補。

這些措施有助於維護金融交易安全與醫療患者資料的隱私。以2025年實例來說，多家銀行已採用多重身份驗證及生物識別技術，減少帳戶被盜風險；同時，醫療機構加強端點保護及網絡分段，防止內部數據外洩。

此外，數據保護方案亦強調持續教育與員工培訓，提升全體人員的資安意識，確保技術與人員管理並重。

金融業的網絡風險管理與韌性策略

作為首類關鍵基礎設施，金融業的網絡安全策略包括：

• 強化多層防禦體系，如入侵偵測與行為分析；
• 定期模擬演練各類網絡攻擊，提高應對及復原能力；
• 持續進行全面風險評估，識別漏洞及威脅趨勢；
• 監督金融平台實施零信任架構，嚴格管控存取權限；
• 採用即時監控與情報共享系統，提升預警反應。

這些策略保障交易系統全天候正常運作，以應對如2025年全球金融機構面臨的針對SWIFT系統的複雜攻擊。零信任模式特別適合預防內部威脅與外部滲透，確保敏感金融數據不被未授權訪問。

透過與國際資安組織合作，金融機構亦得以及時獲取最新威脅情報，從而提升整體防護能力。

醫療安全管理的規範要求

醫療行業網絡安全管理重點包括：

• 制定專門的安全實務守則，保護醫療設備和患者資訊系統免遭攻擊；
• 強化供應鏈安全管理，防止惡意軟件透過第三方介入；
• 推廣嚴格身份認證及多因素認證機制；
• 確保系統高度可用性，保障醫療服務穩定運行；
• 定期執行安全審核和災難恢復測試。

例如，醫療機構利用網絡分段技術限制醫療影像系統與其他網絡的直接互通，減少擴散風險。在2025年的數據洩露事件中，這類措施有效防止了患者資料大規模外洩。

此外，針對物聯網醫療設備（IoMT）增多的趨勢，醫療機構也強化設備韌性評估及固件更新機制，以防止遭受惡意侵入。

SCADA系統的風險管理與應急準備

針對能源及運輸領域採用的SCADA系統，管理措施包括：

• 參考國際最佳實務，定期執行風險評估與安全檢查；
• 建立異常行為自動通報機制；
• 制定並演練應急計劃，迅速應對與修復該系統漏洞；
• 確保SCADA系統的安全性不影響關鍵社會功能。

在2025年，全球多起針對工業控制系統的攻擊使香港加強此類系統的風險監控，專責辦公室協助制訂符合IEC 62443等國際標準的安全框架，提高SCADA系統對網絡威脅的抵禦能力。

網絡安全管理的商業及成本效益分析

雖然具體成本效益數據有限，官方文件指出2025-26年度已預算約港幣一千萬元用於專責辦公室的專業人力及運作，反映如下觀點：

• 強化網絡安全是防止重大運營中斷與經濟損失的重要投資；
• 有效的監管與協調可減緩事件帶來的應對成本與複雜性；
• 持續的安全風險評估與快速恢復能力建設，有助提升金融與醫療服務的信譽；
• 標準化實務守則及合約管理有助降低外部風險及合規成本。

此成本投入不僅避免了潛在的數百萬港元經濟損失，也提升了公眾對金融及醫療系統的信心，有助香港在2025-26年保持作為國際金融中心及醫療樞紐的競爭力。

專責辦公室的成立促進公私部門協作，以高效利用資源提升網絡安全防護，從長遠觀點來看將大幅降低潛在風險並強化整體社會穩定。

專責辦公室的領導角色與跨部門協調機制的深入探討

除了已提及的組織架構和職責外，2025年立法文件特別強調專責辦公室領導層在推動香港關鍵基礎設施網絡安全中的核心地位。專員（首長級薪級第3點）不僅需要具備深厚的網絡安全專業知識，更需具備卓越的策略規劃與管理能力，領導跨部門團隊面對不斷變化的威脅環境。例如，專員通過發展及更新《實務守則》，為不同產業界量身訂造安全標準，兼顧法律要求與業務實際操作的平衡，確保規範既嚴謹又具彈性。

此外，專責辦公室密切與保安局常任秘書長及其他政府部門如警務處、數字政策辦公室及個人資料私隱專員公署合作，建立高效的通報與應變機制，確保在發生網絡安全事故時能迅速調度資源、進行調查並推動恢復行動。副專員（合規）負責制定和監管合規框架，定期評估營運者的安全措施是否落實，並審查安全報告和計劃。而副專員（行動）則主導事故調查與現場應變，並與國際網絡安全執法機構建立合作關係，分享情資及調查經驗，增強香港在全球網絡安全環境中的競爭力。

這種領導及協調模式的設計，確保專責辦公室能在迅速應對複雜事件，同時維護與各行業營運者的良好溝通，有效推動香港從政策制定到實務執行的網絡安全治理。2025年的相關討論文件強調，只有具備國際視野和專業技能的領導才能在多變的威脅環境中保障香港的核心經濟與公共衛生系統穩定。對金融及醫療行業而言，這意味著除技術防護外，更需依賴強有力的跨部門合作與及時管理決策，才能全面提升整體網絡韌性。

隨著2026年《保護關鍵基礎設施（電腦系統）條例》生效，香港專責辦公室將推動系統化的網絡安全管理，涵蓋緊急通知系統及金融、醫療等關鍵行業的網絡風險防控。透過專員與副專員的領導，以及跨部門合作與嚴格法規，該辦公室致力提升敏感數據保護、外部服務供應鏈安全與系統韌性，支持香港社會安全和經濟穩定發展。面對2025年日益複雜的網絡攻擊形勢，這套全面的管理模式不僅保障了關鍵行業的正常運作，更為香港打造了堅不可摧的資訊安全防線。

參考資料來源

• 立法會保安事務委員會文件：《保護關鍵基礎設施（電腦系統）條例及專責辦公室設立建議》（2025年5月）https://www.legco.gov.hk/yr2025/chinese/panels/se/papers/se20250506cb2-773-3-c.pdf
• 立法會條例草案簡介：《保護關鍵基礎設施（電腦系統）條例草案》（2025年1月）https://www.legco.gov.hk/yr2024/chinese/bc/bc56/papers/bc5620250107cb2-1792-1-c.pdf
• 香港數字政策辦公室：《資訊技術安全指南2025年7月版》https://www.govcert.gov.hk/doc/G3_SC.pdf

免责声明：本网站包含或通过本网站提供的所有内容，包括文本、图形、图片和信息，仅供一般信息参考。页面中包含的信息和材料，以及所显示的条款、条件和描述，可能会在没有通知的情况下更改。