公共机构数据安全检讨委员会主席、国务资政兼国家安全统筹部长张志贤表示,当局将尽最大努力减少数据泄露的风险,但无法完全消除威胁。不过,当这类泄露事故发生时,当局会侦测到并迅速有效地反应,以限制泄露范围和所造成的伤害。
经过八个月检讨,公共机构数据安全检讨委员会前天向李显龙总理提呈报告,建议公共部门应从技术流程、人事管理和治理架构,多管齐下地提升数据安全,尽力避免公众的个人资料外泄,并在泄露事故发生时,尽早侦测和做出反应。
根据总理公署文告,李总理已致函委员会,表示政府将全盘接受所有建议。李总理在信函中说:“数据是数码经济和数码政府的命脉。我们需要尽可能充分地使用和共享数据,以提供更好的公共服务。”
“在这个过程中,我们也须保护数据安全和维护个人隐私,同时不能扼杀数码创新。这对医疗保健领域尤其重要,但政府其他领域也是如此。”
公共机构数据安全检讨委员会(简称委员会)的成立,事缘过去两年的几次数据泄漏事故,尤其是去年的新保集团网袭事件。为全面检讨公共服务领域的数码安全政策,李总理今年3月底任命这个高级别委员会,由国务资政兼国家安全统筹部长张志贤担任主席。
过去八个月,委员会抽查了94个政府机构的336个系统,以找出潜在风险和数据事故的常见原因。结果显示,64%的机构被评为低风险、23%被评为中等风险,其余13%则被评为高风险。尤其是较小的政府机构,在落实数据保护措施上需要更多支持,因为它们拥有较小的资讯科技(IT)团队和较少资源。
根据报告,委员会的建议可归为五大重点:一、提升数据保护和预防资料外泄;二、迅速侦测和解决泄漏事故;三、提升公务员保护数据的意识和能力;四、完善问责制度;五、加强治理架构以应对未来数码需求。
其实,委员会在报告未出炉前,已在7月提前向政府建议13项技术解决方案,例如为更多文件加密,或在公务员发送含敏感数据的电邮前发出警示。这些都属预防性措施,涵盖在第一项建议中。
委员会昨天召开记者会,张志贤致开场白时指出:“尽管我们将尽最大努力减少数据泄露的风险,但我们无法完全消除威胁。当这类泄露事故发生时,我们会侦测到并迅速有效地反应,以限制泄露范围和所造成的伤害。”
设中央联系点方便公众举报
因此,委员会的建议还包括制定一套作业框架,迅速通知受数据泄露影响的人士;树立标准的事后调查流程,如列明在哪些情况下会召开独立调查委员会;以及在调查结束后与其他机构分享学习重点。
公众日后也能更直接地举报数据泄露事故。政府数据署(Government Data Office)将设立中央联系点,以免公众对于要向哪个机构举报感到混淆。
除了技术与流程,人为因素也是委员会探讨的重点。张志贤强调,在数据的共享与使用方面,公务员不应只是遵规守纪,也须追求卓越,如保持警觉和相互提醒。
政府也将强化现有问责框架,例如将数据安全涵盖在各政府机构的关键绩效指标(KPI)中,并向公务员重申数据泄露的严重后果。政府所设的高标准,也适用于处理政府数据的非政府机构和非公务员,如供应商和承包商。
与此同时,网络威胁不断演进,为确保公共机构的数据安全检讨工作是持续性的,政府也设立和委任新部门,继续推动这方面的努力。
委员会指出,从建议中可看出,公共机构须遵循的要求和标准不亚于私人领域。张志贤说:“这些措施将大大加强保障并向公务员问责。它们可媲美国际和行业最佳做法(best practices)。”
政府会在2021年底前,在八成的政府系统落实委员会提出的技术措施,其余两成的系统则因过于复杂或需要重新设计,将在2023年底前才采纳。
公共机构数据安全检讨委员会五项建议
一、提升数据保护和预防资料外泄
二、迅速侦测和解决泄漏事故
三、提升公务员保护数据的意识和能力
四、完善问责制度
五、加强治理架构以应对未来数码需求