香港特别行政区立法会3月19日通过《保护关键基础设施（电脑系统）条例》（以下简称《条例》），并预计明年1月1日实施。《条例》重点要求八大行业的企业进行全面风险评估，以识别高风险区域并采取相应安全措施。针对关键基础设施订立保障条例，八个规管界别包括：能源、资讯科技、银行和金融服务、交通、医疗保健、通讯及广播等，以维持关键社会和经济活动。

　　新例下这些机构企业营运者要遵守法定责任，分为三大类：架构、预防、事故报告及回应，当中又包括：设立电脑系统安全部门、报告关键电脑系统的重大变化、制定安全管理计划和应急计划，如至少每两年参与一次安全演习。条例亦订明，若营运者未履行法定责任，最高可罚款500万元及每日额外罚款5万至10万元。

　　寻找专家团队 预检系统安全基础合规

　　马凯雯指出并非所有系统都是“关键电脑系统”，企业先要做的是找专家为其作全面风险评估，并列出一些高风险项目，降低黑客入侵风险。

　　泰雷兹应用与数据安全业务区域销售总监马凯雯（Sabrina）指出，《条例》所涉八大行业并非所有电脑系统都属“关键电脑系统”，由于条例针对企业作监管，因此条例生效前，企业需要指派内部团队或外判专家对系统全面评估，列出高风险项目，并检查及降低被黑客入侵风险，尤其需重视分散式阻断服务（DDoS）攻击的潜在威胁，以及数据安全的整体防护，确保数据得到妥善保护。

　　Sabrina提到，目前有关部门将根据企业的设施核心功能、系统中断时可能造成的影响，以及运营商对系统的依赖程度等因素，判断是否将企业的系统指定为“关键电脑系统”。因此，对已具备基础保安措施的企业，现阶段只需进一步检视并提升现有系统安全性。特别是针对关键基础设施的网络韧性和数据传输加密（如国际标准的TLS/SSL协议），以抵御日益复杂的网络攻击。

　　她建议企业先寻找第三方具丰富国际合规经验的系统安全专家，全面评估包括数据加密传送、应用程序（APP）安全、数据库保护，以及DDoS缓解方案等各层面的安全措施。同时，企业应规划定期的安全演习与渗透测试，确保系统通过安全审核并符合规例要求，尤其是在面对针对性攻击时能维持业务连续性。

　　AI及量子计算机 为数据加密带来挑战

　　许树怀指出在AI及量子计算机时代，以往数据加密传输可能一夕间落伍，所以企业需要先部署可抗量子计算机解密的加密锁匙管理作为防范策略。

　　泰雷兹应用与数据安全业务区域副总裁（大中华区及韩国）许树怀（Wayne）指出，有关部门有一定灵活性保障公众，但执行时间或较短促，对于企业而言尽早检验查看系统规划，可省却日后合规时的额外成本。Wayne还提醒说，不少黑客亦会趁机预先试探或入侵企业，盗取加密通讯数据，以便日后入侵，因此企业急需审查数据密钥管理系统（Key Management System）、算法等，以防出现漏洞。

　　Wayne直言AI及量子计算机爆发式普及，以往数据加密传输也有可能一夕被破解，所以关键电脑系统企业更应先行规划密钥管理作为防范策略，如部署后量子计算机加密（Post-Quantum Cryptography）风险管理工具，及早进行系统测试升级，以避免量子计算机及AI的技术更加成熟时出现数据泄露的风险。这不仅能增强客户对企业信任，也有助提升企业在市场上的竞争力。

　　随着全球对数据安全重视程度不断提高，企业应主动了解AI及量子计算机对安全的影响，以高于《条例》规范检视系统，迎接AI与量子计算机时代带来的挑战。对于高风险的八类企业而言，更应加快步伐制定完善安全、数据加密的策略，确保在法例生效后能够即时符合要求。这不仅是确保本地以至海外合规的必要举措，也是保障企业长远发展的关键投入。

　　该《条例》旨在加强香港关键基础设施的网络安全，降低对重要服务的干扰风险；相关技术手段有助于企业简化合规流程并提升安全自动化水平，以更有效应对条例要求。