香港《保護關鍵基礎設施(電腦系統)條例》已於 2026 年 1 月 1 日正式生效,為本地首次建立起全面法定網絡安全框架,關鍵行業企業由此進入「網絡安全有法可依、有責可追」的新階段。 對涉足能源、金融、交通、醫療以至電訊等行業的機構而言,條例不單是合規議題,更直接影響營運韌性及未來投資方向。
條例涵蓋行業與企業新責任
條例將多個行業的核心設施正式列為「關鍵基礎設施」(Critical Infrastructures,CI),包括:能源、資訊科技、銀行及金融服務、航空運輸、陸路運輸、海上運輸、醫護服務,以及電訊及廣播服務等。凡被界定為 CI 營運者,均須履行多項網絡安全責任,例如:
- 制定並實施 安全管理計劃
- 定期風險評估及安全審核
- 預先備妥 網絡安全應急計劃
- 於指定時限內 通報網絡安全事故 予當局
條例同時訂明,違反上述責任可面臨嚴厲罰則,企業不能再以「政策未明」作為延遲行動的理由。
關鍵電腦系統需足夠抵禦網絡威脅
條例的核心目的,是要求 CI 營運者確保其關鍵電腦系統具備足夠「韌性 抵禦網絡威脅:即使遭遇攻擊或中斷,仍能維持關鍵服務運作,並有效避免資料外洩。Hitachi Vantara 指出,正計劃更新基礎設施的機構,應趁此時機將投資方向與條例的合規要求「對齊」,由硬件架構、數據保護到營運流程一併檢視。
Hitachi Vantara 香港及澳門區總經理阮紹筠表示,條例其實是把「最具韌性的營運者多年來早已遵守的要求」,正式寫入法規,監管方向已相當清晰,雖然細節仍在透過實務守則逐步釐定。企業若能趁早現代化數據基建,在未來配合「關鍵基礎設施(電腦系統安全)專員」發布的實務守則時將更佔優。
企業基礎設施決策的幾個關鍵注意點
Hitachi Vantara 從其在關鍵任務環境的經驗,列出幾個與條例要求直接相關的基建重點,值得 CI 營運者特別留意:
- 本地部署與操作控制權
條例賦予調查人員在安全調查期間,進入數據中心及直接存取關鍵電腦系統的權力。 對大量依賴公共雲或海外託管設施的機構而言,這可能難以在法律和技術層面完全配合。
Hitachi Vantara 建議,CI 營運者需審視哪些系統必須維持在本地司法管轄及直接控制之下,透過本地部署的一體化基礎設施堆疊,確保關鍵系統不會「散落」在難以管控的海外環境。 - 系統可用性與持續運作計劃(BCP/DR)
CI 營運者必須制定及備有持續運作計劃,確保在網絡安全事故期間,基要服務仍可維持。
以 Hitachi Vantara 的 Virtual Storage Platform One(VSP One)為例,其不可變快照、氣隙隔離數據保護及 100% 數據可用性保證,目標正是讓機構在事故發生時,能夠:- 快速隔離受影響範圍
- 保持關鍵工作負載運作
- 同時保留足夠證據配合事後調查與取證
- 主動漏洞通報與審計可視度
條例要求定期安全風險評估,但傳統漏洞掃描往往忽略底層儲存設備。
Hitachi Vantara 提到「 VSP 360 儀表板」,可以就整個儲存產品組合的韌體、軟件、資料保護更新及已知安全漏洞提供實時主動通報,為 CI 營運者在面對審計及合規檢查時,提供可追溯的技術證據與報表。 - 快速復原到「潔淨環境」
條例要求機構證明在網絡安全事故之後有能力恢復基要服務,因此「點樣復原」與「復原到幾安全」,同樣重要。
Hitachi Vantara 的做法包括:- 搭載 CyberSense 的勒索軟件偵測方案,聲稱偵測準確率達 99.99%,可協助找出最後已知的潔淨數據副本。
- 僅在香港提供的 Hitachi Cloud Connect,提供本地託管、按需使用、與生產環境隔離的「潔淨室」復原環境,讓機構在不依賴共享公共雲的前提下,將關鍵工作負載還原至無勒索軟件狀態。
- 資料外洩防護與敏感數據管治資料外洩是條例特別關注的嚴重事故類型之一。 Hitachi Vantara 的 VSP One Object 等物件儲存方案,以有別於傳統檔案系統的架構,以及內置勒索軟件抵禦功能,配合:
- PII(個人可識別資料)分類
- 零信任安全模型
協助 CI 營運者在 AI 與分析工作負載急速增長的情況下,維持對敏感資料使用的可見度和可控性,減少未經授權存取和外洩風險。
「責任」先於「技術」,基建選擇決定未來空間
Hitachi Vantara 香港及台灣技術銷售總監盧嘉騏指出,條例訂明的是機構須履行的責任,而非規定使用某一款技術產品。 但企業今日在基礎設施上的選擇,將直接決定:
- 將來能否較容易達到合規要求;
- 能否在「合規」之上更進一步,以穩定、安全的數據基建為基礎,推動創新與新業務。
對香港企業而言,條例的生效意味著網絡安全從「最佳實務」正式變成「法定底線」。尤其是關鍵基礎設施營運者,除了要盡快理解實務守則內容,更應趁現有 IT 更新周期,把「本地部署控制」「韌性與可用性」「可審計可視度」「快速潔淨復原」及「敏感數據管治」等元素,系統性納入基建規劃之中。 否則,一旦發生事故,不單營運受阻,更可能面對合規風險及聲譽打擊。
