政府部門「泄密」　專家倡訂條款　用第三方軟件資料須存政府雲端

政府近期接連出現資料外泄風險，政府資訊科技總監辦公室上周指示各首長，於一周內檢視保安資訊系統。資科辦表示，各部門已完成檢視工作，並確認沒有把敏感及個人資料儲存於公有雲平台上。

香港資訊科技商會榮譽會長方保僑質疑，連串事件反映有部門涉嫌違反資科辦的保安指引，需要負上責任，事件亦揭示現有措施不足，建議資科辦定期及頻密指示部門首長就資訊保安作出匯報，甚至在採購時於標書訂立條款，「軟件同供應商，但資料儲存喺政府雲端」。

資科辦回覆查詢表示，已向所有決策局及部門（局／部門）首長發出指示，要求各局／部門全面檢視現有資訊保安措施及其轄下資訊系統，以確保敏感及個人資料得到妥善保障，同時提醒所有人員必須嚴格遵守保安規例、政府資訊科技保安政策及指引。

資科辦過去一周聯絡所有部門：檢視後沒把敏感資料存公有雲平台

資科辦在過去一個星期主動聯絡所有部門，而所有局／部門亦根據指示完成檢視工作並已向資科辦確認，按政府的資訊保安政策，沒有把敏感及個人資料儲存於公有雲平台上。

方保僑促資科辦加密審視各部門運作

方保僑表示，資科辦會向政府各部門提供「資訊科技保安指引」，各部門亦有一位資訊科技保安主任，惟近期連串事件反映仍有不足，基於資科辦人手，未必能夠全面介入各部門的資訊保安，建議要求部門首長頻密審視資訊系統，定期提交報告，再由資科辦抽查。

他指出，不少政府部門都會因應運作，採購坊間不同軟件程式，個別資料或會儲存於第三方系統，一旦供應商系統出現問題，會造成潛在外泄風險，加上，第三方雲端系統保安程度參差不齊，具外部登入功能，存有保安風險。

方保僑提到，相對而言，政府雲端系統抵禦能力較強，認為任何敏感而重要的資料應保存於政府雲端，甚至可以在採購軟件系統時，於標書中加入保安條款，「軟件同供應商，但資料儲存喺政府雲端」。

私隱專員公署：機電、消防、市建泄資料屬同雲端系統

私隱專員公署日前公布，從最近接獲不同機構，包括機電署、消防處及市建局的資料外洩事故通報中，注意到三宗事故的個人資料，均存放於網上平台ArcGIS Online，而資料外洩事故涉及登入密碼及/或權限設定失效，令該平台的資料可在毋須以帳戶及/或密碼登入特定頁面的情況下被瀏覽，私隱署已依據既定程序展開調查。

資料顯示，ArcGIS Online的開發商為Esri China (Hong Kong) Limited。