推动政务电子化发展的同时,特区政府亦特别关注资讯保安的重要,为更深入的认知不足,以便进行针对性的对策,行政暨公职局於2010年开始,每年均透过与澳门创新科技中心合作,向各政府部门进行资讯保安问卷调查。 是次的资讯安全调查活动是於本年3月进行,根据分析结果以及比较2010年及2011年的数据,显示政府部门整体在各个资讯安全分类中均有不同程度的水平提升,各政府部门显然已逐步意识资讯保安的重要性,并持续投放资源做好资讯保安的工作。而各个资讯安全分类当中,政府部门明显较着重技术方面的保安工作,故以「系统管理与维护运作」、「权限管控与通讯防护」以及「媒体防护」的类别水平较高,但「安全意识与培训」、「审计追踪」、「风险评估」以及「安全事故协调」的类别均仍处於较低水平。 针对是次资讯安全调查所发现的弱点,特区政府未来将按以下三个方向继续推动资讯保安工作:
推动集中管理
一直以来,很多政府部门均各自投放资源发展其资讯系统基建,管理呈分散模式,故过往只能依靠政策指引及人为的本份安守来维系资讯安全水平,因而缺乏有效的可控点,推动资讯保安的工作则较为被动。政府数据中心於去年11月起投入运作,正能配合特区政府加强推动资讯保安的工作。政府数据中心的其中一个设立目的是推动资讯系统集中管理,由於政府数据中心设有固定的运作标准,可以以统一规范、统一标准及统一管理方式为各政府部门管控信息,从而有效提升资讯保安的管控水平,至今已有14个政府部门采用政府数据中心的服务。 集中管理能有效的管控信息化安全,为使更多部门将信息放在政府数据中心内管理,策略上将继续提升政府数据中心的效能,逐步发展成为特区政府处理信息化危机的平台。政府数据中心将於本年内考取ISO27001的国际认可证明,同时亦实施24小时全天候网络安全监察,信息安全管理水平得以标准化及科学化地提升,加上将於今年完成构建的灾难复原系统平台,政府数据中心将可协助各部门应付突发性的资讯系统故障,并为发展安全、稳定的电子政务打造良好的基础建设。 推出更多资讯保安规范
特区政府近几年在资讯保安方面推出了不少规范,包括:
法规方面:第8/2005号《个人资料保护法》、第11/2009号法律《打击电脑犯罪法》。 指引及措施方面:《资讯保安政策指引》、《关於正确使用互联网的要求》、《电子邮件安全框架》。 特区政府未来将继续完善及推出更多规范标准,包括进一步规范灾难备份安全的管理,并研究制订资讯系统保安风险评估及审查规范以及数据中心管理和运作规范。
提升资讯保安意识
再好的政策都是由人去执行,过往很多资讯事故的发生都是人为疏忽所致,故资讯保安不单是管理者及资讯技术人员的份内工作,事实上任何一位公务人员均具责任维护政府信息的安全。因此,资讯保安的推广工作是要普及性。 行政暨公职局近年均有定期举办资讯保安讲座,邀请不同地区及国家在这方面的专家向各部门进行经验分享及演说,以提高人员的保安意识。 同时亦有持续举办与资讯保安相关的技术培训课程,以提升特区政府资讯系统管理员在相关范畴的能力。 未来除续办更多关於资讯保安的研讨会之外,将会研究制订涵盖范围涉及全体公务人员的资讯安全意识学习培训及宣传策略,整体地提升每一位人员的资讯保安意识。
