關鍵信息基礎設施業者(Critical Information Infrastructure Owners,簡稱CIIO)、網絡安全審計機構和持照網絡安全服務提供者將必須取得網絡安全信譽標誌(Cyber Trust Mark,簡稱CTM)認證,進一步鞏固我國的數碼防線。
數碼發展及新聞部兼衛生部高級政務部長陳傑豪前天(2日)在國會撥款委員會辯論數碼發展及新聞部開支預算時宣布,政府將帶頭要求處理敏感數據的機構承擔更嚴格的網絡安全和數據保護義務。
網絡安全局將要求經營、評估或處理敏感系統和數據的關鍵信息基礎設施業者、為這些業者進行網絡安全審計的機構,以及提供滲透測試和託管式安全運營中心服務的持照網絡安全服務提供者取得網絡安全信譽標誌認證。
政府科技局(GovTech)也將要求管理關鍵系統和敏感政府數據的政府承包商取得認證。
陳傑豪表示,政府正同相關機構進行諮詢,這些措施將在未來兩年逐步落實。
網絡安全局表示,關鍵信息基礎設施業者必須在兩年寬限期內,也就是最遲2027年底,為支持其業務運作的非關鍵系統取得最高級別的第五級認證。相關審計機構則必須在一年內,也就是最遲今年底達標。
持照的網絡安全服務供應商則必須取得第三級認證,並可在最遲今年12月31日完成認證程序。
網絡安全信任標誌是一項分級認證制度,共設五個網絡安全準備等級,涵蓋10至22個安全領域,按企業風險程度匹配相應標準。認證制度去年加強內容,納入雲計算、營運科技及人工智慧安全風險考量,以應對快速演變的威脅環境。
