港府資安新規!公務員辦公室用WhatsApp、Gmail等須獲批

香港特區政府總部。(圖/取自香港電臺)

港府4月更新規管各部門的資訊科技保安規定,指引中稱政府僱員使用個人網路郵件、公共雲端儲存和網路版即時通訊服務會「帶來重大保安風險」,要求只在有真正需要和合理理由、且獲部門首長批准,纔可使用三類程式。

香港《明報》報導,指引同時規定,部門也應設定網頁過濾等措施,防止未經授權使用三類程式。若指引實施,香港公務員要使用辦公室的電腦桌面版WhatsApp、微信、Google旗下Google drive、Gmail等,可能須事先批准。

港府發言人對此,更新版指引在4月公佈,各決策局或部門須在6個月內採取措施,或制訂實施計劃,港府「數字政策辦公室」會提供適切技術建議和支援。發言人稱,面對網路威脅持續,一定要做好防範工作,各政策局及部門繼續負起應有責任,繼續落實新一輪更新的《政府資訊科技保安政策及指引》規定。

電腦安全研究員賴灼東說,類似規定早見於私人市場,如國際銀行「限得好緊」,但認爲很難「一刀切」要求政府僱員不用在辦公室電腦用即時通訊軟體,認爲當局可研究用企業版本程式,或用政府提供的手機才使用部分程式。他又提醒,年初外泄資料問題主要源於外包的本地雲端平臺供應商問題,認爲港府應研究是否應更換或限制使用肇事公司,或更換可信度高一點的品牌,不能貪便宜。

港府資科辦(現數字政策辦公室)在4月更新訂下「強制性基本保安要求」的《基準資訊科技保安政策》,及制定相關實施標準的《資訊科技保安指引》。兩套文件規管政府聘用的公務員及非公務員。

當中,《指引》提醒使用個人電郵、雲端及網路版即時通訊程式可能導致未經授權披露敏感資料或資料外泄,新增部門須定期審慎檢視(critically review)使用三類程式的必要性,並在獲部門首長批准,人員纔可授予權限使用;不再需要時應立即撤銷權限。

港府發言人解釋,由於網頁版即時通訊程式可能增加資安風險,包括未經授權傳輸檔案、誤擊詐騙網站連結等,故引入保安規定。發言人補充,若政府人員以部門提供的行動電話使用即時通訊程式,不需要事先獲批准。