醫管局九龍東醫院聯網逾5.6萬名病人及少量員工資料,早前被人盜取並在暗網論壇發放,醫管局上周經恆常監察系統發現事件及報警,並暫停承辦商的系統維護工作。創新科技及工業局局長孫東表示,數字辦已就今次事件即時聯絡醫管局跟進,並會提供專業意見及技術支援,確保相關機構落實各項保安加強措施。
須定期審查系統使用者權限
孫東指,相關事件正在接受執法機構的進一步調查,不便披露更多信息,但總體而言,數字政策辦公室一直透過多管齊下方式,致力提高政府內部,以及所管轄公營機構資訊科技系統的治安及管制。根據現行規定,各決策局及部門有責任確保其負責的政府及公共機構資訊系統,符合《政府資訊科技保安政策及指引》要求。
孫東表示,特區政府曾提出《政府資訊科技保安政策及指引》,當中對於員工教育培訓等方面有明確要求,如須定期審查和審核系統使用者權限,確保員工僅接受符合其目前角色的存取權限,同時在聘用和管理外判商時,制定相關保安管理程序,以「有需要知道」原則授予保安權限及因應風險程度採取多重認證等,以全方位維護政府系統和數據安全。
記者:曹露尹
攝影:何君健
