2026-02-04

關鍵基礎設施新條例：譜寫網絡安全新篇章

香港網絡安全格局迎來關鍵轉折點。《保護關鍵基礎設施（電腦系統）條例》（第653章）（下稱《條例》）已於2026年1月1日正式生效。作為香港首部針對關鍵基礎設施（Critical Infrastructure）網絡安全的專門立法，該條例標誌著香港在構建系統性網絡防禦能力、保障社會經濟命脈方面邁出堅實一步，同時也為相關企業帶來了全新的合規藍圖與挑戰。

解構條例核心：受規管行業與三大責任

受規管對象

《條例》主要規管「關鍵基礎設施營運者」(CI operator)，即為社會提供不可或缺服務的大型機構，涵蓋以下兩類：

八大受監管行業：包括能源、資訊科技、銀行及金融服務、交通運輸、醫療服務，以及電訊與廣播服務。
維持社會經濟活動的重要設施：例如大型體育及表演場館、科技園區等，其運作若受損可能對社會或經濟造成嚴重影響。

三大類法定責任

《條例》為關鍵基礎設施營運者設立以下三大責任範疇，構建完整監管框架：

第一類：架構責任

須在香港持續設立辦事處，並成立專責管理單位或指定主管人員，統籌電腦系統安全事宜。
建立清晰的內部政策、職責分工和管理流程，確保董事會或高層對網絡安全履行監督責任。

第二類：預防責任

定期進行風險評估，識別關鍵電腦系統可能面臨的網絡威脅及技術弱點。
擬訂及實施電腦系統安全管理計劃，包括加強防護措施、存取控制、數據備份、員工培訓等，提升應對攻擊的韌性。
按需要進行保安審核或滲透測試，並向監管當局提交相關報告或計劃。

第三類：事故通報及應對責任

參與電腦系統安全演習。
制定並實施應急計劃。
一旦發現對關鍵電腦系統構成重大影響的事故，須在指定時限內通報專責當局；其他事故須在48小時內提交報告。

該條例將網絡安全要求從自願性指引提升為強制性法律責任，大幅提升了保障基線，確保社會經濟命脈服務在面臨網絡攻擊時仍能持續運作。

對企業的具體影響、挑戰與機遇

主要挑戰與合規方案

識別與合規的複雜性：企業需準確識別哪些系統屬於「關鍵電腦系統」，並建立相應的管理架構和流程，前期投入成本巨大。
人才與資源短缺：設立符合要求的安全管理單位、招聘或培養相關專才，是許多企業面臨的迫切難題。
供應鏈風險：企業須為第三方服務供應商（如雲服務商、外包技術團隊）的網絡安全行為承擔責任，因此必須加強對供應鏈的網絡安全審查與合約管理。

合規帶來的好處與機遇

系統性提升安全韌性：強制性的風險評估、審計和演習，將幫助企業系統性發現並修復漏洞，建立主動防禦能力。
塑造安全文化與信任：通過合規過程，可在企業內部培養員工的網絡安全意識，建立負責任的安全文化；對外則能增強客戶、合作夥伴及監管機構的信任。
明確的營商框架：清晰的法規為所有市場參與者設立了統一的安全標準，創造了公平、穩定、可預測的營商環境，長遠而言有利於吸引投資。

不合規的風險

不履行法定責任或違反專員的書面指示即屬違法，企業可能面臨最高數百萬港元的罰款。此外，因安全事故導致服務中斷造成的商業損失和聲譽損害，後果更為嚴重。

專家視角：解構企業應對網絡安全新規的三步戰略

為助力企業應對合規挑戰，中信國際電訊CPC的網絡安全顧問 Dr. Sung Liu建議，企業首先應全面梳理自身資產。透過我們的資產梳理服務，能夠為企業識別需要保護的網絡空間資產，避免遺漏任何項目，減少常見高風險漏洞。

給合TrustCSI™ IAS信息評估服務，企業可偵測網絡基礎設施及網絡應用中的潛在漏洞，並取得詳細報告及修復建議。服務有助企業先發制敵、防患未然，增強整體防禦能力以迎接網絡新挑戰。

除此之外，Dr. Liu指出，在人才與資源受限的情況下，企業可借助由國際安全認證的網絡安全專家團隊營運的TrustCSI™ MSS託管式安全服務。服務提供24×7的實時監察以辨別及分析企業的網絡安全漏洞，評估並排列各種威脅的優先次序，優化網絡安全措施、政策及處理程序等，降低網絡安全事故風險，避免出現違規情況發生。

加上我們的「AI攻防」實踐，更能有效提升員工的安全意識，及早洞悉企業潛在風險並修正。上述各項網絡安全服務環環相扣，賦能企業提升整體網絡威脅防禦佈局。

AI SOC：全方位守護企業，主動迎戰AI威脅

以「SIEM-MiiND星智神盾」驅動的AI SOC，運用先進的AI技術全面提升安全運作中心（SOC）效率，為企業提供更快、更準的全天候安全分析和監控。通過自建的安全分析大模型，系統能對海量日誌進行快速檢索與關聯分析，將安全團隊從繁瑣的手工調查中解放。

系統亦能根據歷史數據與即時威脅情報，動態調整偵測規則，並實現自動化回應。其秒級應變能力可迅速遏制入侵指標（IOC），將安全建議的提供速度提升高達75%，主動地為企業建構主動、智能的防護體系。

如欲深入了解中信國際電訊CPC的AI安全解決方案，歡迎隨時聯絡我們的專家團隊。