推動政務電子化發展的同時,特區政府亦特別關注資訊保安的重要,為更深入的認知不足,以便進行針對性的對策,行政暨公職局於2010年開始,每年均透過與澳門創新科技中心合作,向各政府部門進行資訊保安問卷調查。 是次的資訊安全調查活動是於本年3月進行,根據分析結果以及比較2010年及2011年的數據,顯示政府部門整體在各個資訊安全分類中均有不同程度的水平提升,各政府部門顯然已逐步意識資訊保安的重要性,並持續投放資源做好資訊保安的工作。而各個資訊安全分類當中,政府部門明顯較著重技術方面的保安工作,故以「系統管理與維護運作」、「權限管控與通訊防護」以及「媒體防護」的類別水平較高,但「安全意識與培訓」、「審計追踪」、「風險評估」以及「安全事故協調」的類別均仍處於較低水平。 針對是次資訊安全調查所發現的弱點,特區政府未來將按以下三個方向繼續推動資訊保安工作:
推動集中管理
一直以來,很多政府部門均各自投放資源發展其資訊系統基建,管理呈分散模式,故過往只能依靠政策指引及人為的本份安守來維繫資訊安全水平,因而缺乏有效的可控點,推動資訊保安的工作則較為被動。政府數據中心於去年11月起投入運作,正能配合特區政府加強推動資訊保安的工作。政府數據中心的其中一個設立目的是推動資訊系統集中管理,由於政府數據中心設有固定的運作標準,可以以統一規範、統一標準及統一管理方式為各政府部門管控信息,從而有效提升資訊保安的管控水平,至今已有14個政府部門採用政府數據中心的服務。 集中管理能有效的管控信息化安全,為使更多部門將信息放在政府數據中心內管理,策略上將繼續提升政府數據中心的效能,逐步發展成為特區政府處理信息化危機的平台。政府數據中心將於本年內考取ISO27001的國際認可證明,同時亦實施24小時全天候網絡安全監察,信息安全管理水平得以標準化及科學化地提升,加上將於今年完成構建的災難復原系統平台,政府數據中心將可協助各部門應付突發性的資訊系統故障,並為發展安全、穩定的電子政務打造良好的基礎建設。 推出更多資訊保安規範
特區政府近幾年在資訊保安方面推出了不少規範,包括:
法規方面:第8/2005號《個人資料保護法》、第11/2009號法律《打擊電腦犯罪法》。 指引及措施方面:《資訊保安政策指引》、《關於正確使用互聯網的要求》、《電子郵件安全框架》。 特區政府未來將繼續完善及推出更多規範標準,包括進一步規範災難備份安全的管理,並研究制訂資訊系統保安風險評估及審查規範以及數據中心管理和運作規範。
提升資訊保安意識
再好的政策都是由人去執行,過往很多資訊事故的發生都是人為疏忽所致,故資訊保安不單是管理者及資訊技術人員的份內工作,事實上任何一位公務人員均具責任維護政府信息的安全。因此,資訊保安的推廣工作是要普及性。 行政暨公職局近年均有定期舉辦資訊保安講座,邀請不同地區及國家在這方面的專家向各部門進行經驗分享及演說,以提高人員的保安意識。 同時亦有持續舉辦與資訊保安相關的技術培訓課程,以提升特區政府資訊系統管理員在相關範疇的能力。 未來除續辦更多關於資訊保安的研討會之外,將會研究制訂涵蓋範圍涉及全體公務人員的資訊安全意識學習培訓及宣傳策略,整體地提升每一位人員的資訊保安意識。