2026-02-04

关键基础设施新条例：谱写网络安全新篇章

香港网络安全格局迎来关键转折点。《保护关键基础设施（电脑系统）条例》（第653章）（下称《条例》）已于2026年1月1日正式生效。作为香港首部针对关键基础设施（Critical Infrastructure）网络安全的专门立法，该条例标誌着香港在构建系统性网络防禦能力、保障社会经济命脉方面迈出坚实一步，同时也为相关企业带来了全新的合规蓝图与挑战。

解构条例核心：受规管行业与三大责任

受规管对象

《条例》主要规管「关键基础设施营运者」(CI operator)，即为社会提供不可或缺服务的大型机构，涵盖以下两类：

八大受监管行业：包括能源、资讯科技、银行及金融服务、交通运输、医疗服务，以及电讯与广播服务。
维持社会经济活动的重要设施：例如大型体育及表演场馆、科技园区等，其运作若受损可能对社会或经济造成严重影响。

三大类法定责任

《条例》为关键基础设施营运者设立以下三大责任范畴，构建完整监管框架：

第一类：架构责任

须在香港持续设立办事处，并成立专责管理单位或指定主管人员，统筹电脑系统安全事宜。
建立清晰的内部政策、职责分工和管理流程，确保董事会或高层对网络安全履行监督责任。

第二类：预防责任

定期进行风险评估，识别关键电脑系统可能面临的网络威胁及技术弱点。
拟订及实施电脑系统安全管理计划，包括加强防护措施、存取控制、数据备份、员工培训等，提升应对攻击的韧性。
按需要进行保安审核或渗透测试，并向监管当局提交相关报告或计划。

第三类：事故通报及应对责任

参与电脑系统安全演习。
制定并实施应急计划。
一旦发现对关键电脑系统构成重大影响的事故，须在指定时限内通报专责当局；其他事故须在48小时内提交报告。

该条例将网络安全要求从自愿性指引提升为强制性法律责任，大幅提升了保障基线，确保社会经济命脉服务在面临网络攻击时仍能持续运作。

对企业的具体影响、挑战与机遇

主要挑战与合规方案

识别与合规的複杂性：企业需准确识别哪些系统属于「关键电脑系统」，并建立相应的管理架构和流程，前期投入成本巨大。
人才与资源短缺：设立符合要求的安全管理单位、招聘或培养相关专才，是许多企业面临的迫切难题。
供应链风险：企业须为第三方服务供应商（如云服务商、外包技术团队）的网络安全行为承担责任，因此必须加强对供应链的网络安全审查与合约管理。

合规带来的好处与机遇

系统性提升安全韧性：强制性的风险评估、审计和演习，将帮助企业系统性发现并修復漏洞，建立主动防禦能力。
塑造安全文化与信任：通过合规过程，可在企业内部培养员工的网络安全意识，建立负责任的安全文化；对外则能增强客户、合作伙伴及监管机构的信任。
明确的营商框架：清晰的法规为所有市场参与者设立了统一的安全标准，创造了公平、稳定、可预测的营商环境，长远而言有利于吸引投资。

不合规的风险

不履行法定责任或违反专员的书面指示即属违法，企业可能面临最高数百万港元的罚款。此外，因安全事故导致服务中断造成的商业损失和声誉损害，后果更为严重。

专家视角：解构企业应对网络安全新规的三步战略

为助力企业应对合规挑战，中信国际电讯CPC的网络安全顾问 Dr. Sung Liu建议，企业首先应全面梳理自身资产。透过我们的资产梳理服务，能够为企业识别需要保护的网络空间资产，避免遗漏任何项目，减少常见高风险漏洞。

给合TrustCSI™ IAS信息评估服务，企业可侦测网络基础设施及网络应用中的潜在漏洞，并取得详细报告及修復建议。服务有助企业先发制敌、防患未然，增强整体防禦能力以迎接网络新挑战。

除此之外，Dr. Liu指出，在人才与资源受限的情况下，企业可借助由国际安全认证的网络安全专家团队营运的TrustCSI™ MSS託管式安全服务。服务提供24×7的实时监察以辨别及分析企业的网络安全漏洞，评估并排列各种威胁的优先次序，优化网络安全措施、政策及处理程序等，降低网络安全事故风险，避免出现违规情况发生。

加上我们的「AI攻防」实践，更能有效提升员工的安全意识，及早洞悉企业潜在风险并修正。上述各项网络安全服务环环相扣，赋能企业提升整体网络威胁防禦佈局。

AI SOC：全方位守护企业，主动迎战AI威胁

以「SIEM-MiiND星智神盾」驱动的AI SOC，运用先进的AI技术全面提升安全运作中心（SOC）效率，为企业提供更快、更准的全天候安全分析和监控。通过自建的安全分析大模型，系统能对海量日誌进行快速检索与关联分析，将安全团队从繁琐的手工调查中解放。

系统亦能根据历史数据与即时威胁情报，动态调整侦测规则，并实现自动化回应。其秒级应变能力可迅速遏制入侵指标（IOC），将安全建议的提供速度提升高达75%，主动地为企业建构主动、智能的防护体系。

如欲深入了解中信国际电讯CPC的AI安全解决方案，欢迎随时联络我们的专家团队。