《保護關鍵基礎設施(電腦系統)條例》(第 653 章,以下簡稱《條例》)自 2026 年 1 月 1 日正式生效已過兩個多月。關鍵基礎設施(電腦系統安全)專員辦公室(OCCICS)於同日發布通用《實務守則》(Code of Practice),能源界別專門守則亦於 1 月 28 日公布。此條例旨在強化香港關鍵電腦系統的安全防護,更有助提升整體數碼韌性,增強外資對香港作為國際金融及科技中心的信心。
隨著 AI 技術急速普及,2026 年的網絡安全危機正急劇升級。近年本地及全球網絡攻擊事件持續攀升,AI 已成為黑客強大的工具,能自動化目標偵察、生成高度逼真的釣魚內容、自主調整攻擊策略,甚至針對供應鏈漏洞發動大規模連鎖攻擊。AI 不僅加速攻擊的速度與規模,更放大供應鏈及關鍵基礎設施的風險;有預測顯示,錯誤配置的 AI 系統可能在不久將來導致關鍵服務自動中斷,帶來嚴重後果。這些趨勢令《條例》的三類責任更顯迫切——企業若不及早強化網絡防護,不僅面臨合規罰則,更可能在 AI 趨勢下放大的危機中遭受重大衝擊。
為深入了解條例生效後的實戰落地,第一線 DYXnet 網絡安全專家鍾而政(Louis),為大家帶來應對攻略。Louis 擁有逾 20 年雲端、網絡及網絡安全經驗,持有多項國際認證,曾領導多個關鍵基礎設施相關合規項目。他以第一線視角,為資訊科技、雲端服務、數據中心及相關企業提供行動指南,強調合規不僅是法定義務,更是企業提升競爭力的戰略投資。
Louis 表示,條例的核心是要求關鍵基礎設施營運者(簡稱 CIO)履行三類法定責任——架構、預防及事故應對,目的是減低網絡攻擊導致必要服務中斷的風險。由條例消息傳出以來,許多企業開始自問:「我們是否會被定義成 CIO?如果是的話,現在該從哪裡入手?」資訊科技界別及雲端營運者特別敏感,因為他們的系統往往是其他界別的「底層支撐」,一旦被指定,影響範圍廣泛。
通用《實務守則》參考 NIST SP 800 系列、ISO 27001 等國際標準,提供逾 200 項具體指引,涵蓋管治架構、風險管理、技術和政策控制、持續監測、改進,以及災害應變和恢復能力。雖然守則非強制法例,但實務上將成為合規驗證的關鍵基準;專責辦公室將與營運者建立夥伴關係,而非純粹執法,這給企業更多空間主動準備。
對企業的挑戰 解讀三類責任的實務落地重點
首先,第 1 類責任(架構責任):若營運者在香港持續設有辦事處、須設立「電腦系統安全管理單位」,並委任具足夠專業資歷的人員負責持續監督及跨部門協調。《實務守則》建議主管具 CISSP、CISM 或等同經驗,單位需確保政策執行及資源分配。對重度依賴資訊系統的企業而言,挑戰在於「持續監管」:在多雲和大量辦公軟件或服務環境下,系統分散,管理單位需具備跨供應商的可見度。許多企業已有安全團隊,但需正式化為明確責任、分工及監督機制的結構,避免流於形式。
其次,第 2 類責任(預防責任):這是落地最繁重的一環。須提交經正式擬備的「電腦系統安全管理計劃」;首年內完成「電腦系統安全風險評估」(其後每兩年一次),需系統性識別潛在威脅和供應鏈風險,評估影響,發生機率來判定重要性,並處理殘餘風險;每兩年安排「獨立電腦系統安全審核」;「重大變更」方面,如組織變動、雲端遷移、大規模升級或新第三方引入,須於 1 個月內通知專員。
企業常遇的痛點包括:風險評估深度不足——需涵蓋威脅建模(Threat Modeling)、漏洞掃描(Vulnerability Scanning)、滲透測試(Penetration Testing)、供應鏈風險評估,如第三方系統漏洞,並量化影響。重大變更判定模糊——例如添加 SaaS 工具或 IaaS 工作負載遷移,是否影響關鍵電腦系統(CCS)可用性?《實務守則》要求評估對必要服務的潛在干擾,審核需具獨立性,內部團隊往往缺乏資源同時處理日常運作與合規相關事務。
最後,第 3 類責任(事故應對責任):制定「應急計劃」(Emergency Response Plan),涵蓋事故管理、業務持續及災難恢復;每兩年至少參與一次「電腦系統安全演習」;「嚴重事故」須於知悉後 12 小時內通報專員,後續提交詳細報告。
實戰難點在於時效與實效:12 小時內的通報非常緊湊,需 24/7 監控及自動分類事件。演習不能只是桌面演練,需模擬真實攻擊,測試恢復能力。OT/IT 融合環境(如數據中心 SCADA 與 IT 網絡整合)更易出現盲點。
企業如何避免常見陷阱?三大實務建議
Louis 指出,首先,進行全面風險評估並了解有什麼需要保護,量化風險程度。然後進行差距分析(Gap Analysis):審查現有安全政策和技術控制,並利用風險評估材料、安全架構文件、監測程序及應變流程,對照《實務守則》找出缺口。這一步至關重要,能避免「文件齊全但實戰失效」。
其次,制定 NIST 框架指標的應急計劃:識別潛在事故類型、定義事件回應團隊角色責任、通訊及升級程序、優先實施建議。同時融入零信任原則及 SASE 架構,強化混合工作環境的安全邊界。
第三,強化持續能力:設立或優化 SOC(Security Operations Center)進行監測;規劃定期進行紫隊演習(Purple Team Exercise);建立數碼鑑證及取證(DFIR)機制。ISO 27001 認證企業可針對《條例》特定要求(如通報時限、演習頻率、供應鏈可見度)進行強化工程,降低重複工作成本。
第一線作為AI+ 雲網安一站式供應商,如何協助客戶落地這些要求?
Louis 分享,第一線的優勢在於「問診 + 執藥」一體化——從風險管理,差距分析到持續運作,形成閉環。我們的服務包括:
- 風險評估與審核:資深團隊進行客製化風險管理系統和 Gap Analysis,涵蓋文件審查、Threat modeling、供應鏈風險,輸出符合守則的報告,支援首年評估及每兩年獨立審核。
- 計劃制定:基於 NIST,協助開發經正式擬備的安全管理計劃及應急計劃,定義事故類型、角色、通訊程序及優先步驟。
- 事故應對:MDR(Managed Detection and Response)結合 24/7 SOC、先進威脅情報及 AI 檢測,實現 12 小時通報及快速 MTTR(Mean Time To Respond/Recover),並支援 DFIR。
- 演習與建構:設計紅藍對抗演練、恢復測試及培訓,協助建立管理單位及SOC能力。
- 技術強化:SASE / ZTNA / Secured SDWAN 提供統一網絡安全及接入方案、MDR 及 IR 服務提供快速應對與恢復,CNAPP 提供統一雲端威脅防護、支援重大變更防護及多雲控制。
第一線已協助多家企業完成初步框架,幫助他們從「合規壓力」轉向「韌性優勢」。
Louis 總結:「《條例》生效是香港數碼防護的轉捩點。企業若及早準備,不僅能避免罰則,更能提升整體競爭力。合規不是負擔,而是投資未來。若企業正評估受指定風險,或需專業支援制定計劃、進行評估、演習或持續監控,歡迎聯絡第一線網絡安全團隊,一起探討最適合的方案。」
第一線的一站式網絡安全服務從各種網絡安全評估、審計,以至制定安全管理計劃及應變計劃、資訊安全解決方案實施及 SOC 安全託管服務等,由計劃到執行,均能量身訂制出合法合規的防護體系,助企業與新法例無縫銜接。而第一線的專家團隊具備 CISSP、CISM、CREST、ISO27001 Lead Auditor、OSCP、CHFI 及 CIH 等國際安全專業認證,結合橫跨各產業的實戰經驗,不僅有效分擔企業 IT 維運壓力,更能建構多層次防禦架構,提升整體資安韌性。
如有興趣了解更多,請在此與第一線網絡安全專家聯繫:https://www.dyxnet.com/hk/get-in-touch/
即將舉行|【第一線網絡研討會】生成式 AI 下的安全新挑戰:網絡防禦全攻略
想深入探討 AI 如何放大網絡危機、條例落地實務,以及第一線的AI驅動防護方案?歡迎報名即將舉行的網絡研討會,與 Louis 及專家團隊互動交流,第一線亦會分享最新的 OpenClaw AI 應用案例,一起掌握 2026 年最新網絡威脅趨勢與應對之道,成功登記及出席活動可獲 HK$50 超市禮券*。
日期:2026年3月26日 (四)
時間:3:00pm – 4:00pm
形式:Zoom Webinar (廣東話)
費用全免,立即報名:https://tinyurl.com/2npx273b
*活動受條款及細則約束,詳情請參閱活動登記網頁。