政府部门“泄密”　专家倡订条款　用第三方软件资料须存政府云端

政府近期接连出现资料外泄风险，政府资讯科技总监办公室上周指示各首长，于一周内检视保安资讯系统。资科办表示，各部门已完成检视工作，并确认没有把敏感及个人资料储存于公有云平台上。

香港资讯科技商会荣誉会长方保侨质疑，连串事件反映有部门涉嫌违反资科办的保安指引，需要负上责任，事件亦揭示现有措施不足，建议资科办定期及频密指示部门首长就资讯保安作出汇报，甚至在采购时于标书订立条款，“软件同供应商，但资料储存喺政府云端”。

资科办回复查询表示，已向所有决策局及部门（局／部门）首长发出指示，要求各局／部门全面检视现有资讯保安措施及其辖下资讯系统，以确保敏感及个人资料得到妥善保障，同时提醒所有人员必须严格遵守保安规例、政府资讯科技保安政策及指引。

资科办过去一周联络所有部门：检视后没把敏感资料存公有云平台

资科办在过去一个星期主动联络所有部门，而所有局／部门亦根据指示完成检视工作并已向资科办确认，按政府的资讯保安政策，没有把敏感及个人资料储存于公有云平台上。

方保侨促资科办加密审视各部门运作

方保侨表示，资科办会向政府各部门提供“资讯科技保安指引”，各部门亦有一位资讯科技保安主任，惟近期连串事件反映仍有不足，基于资科办人手，未必能够全面介入各部门的资讯保安，建议要求部门首长频密审视资讯系统，定期提交报告，再由资科办抽查。

他指出，不少政府部门都会因应运作，采购坊间不同软件程式，个别资料或会储存于第三方系统，一旦供应商系统出现问题，会造成潜在外泄风险，加上，第三方云端系统保安程度参差不齐，具外部登入功能，存有保安风险。

方保侨提到，相对而言，政府云端系统抵御能力较强，认为任何敏感而重要的资料应保存于政府云端，甚至可以在采购软件系统时，于标书中加入保安条款，“软件同供应商，但资料储存喺政府云端”。

私隐专员公署：机电、消防、市建泄资料属同云端系统

私隐专员公署日前公布，从最近接获不同机构，包括机电署、消防处及市建局的资料外泄事故通报中，注意到三宗事故的个人资料，均存放于网上平台ArcGIS Online，而资料外泄事故涉及登入密码及/或权限设定失效，令该平台的资料可在毋须以帐户及/或密码登入特定页面的情况下被浏览，私隐署已依据既定程序展开调查。

资料显示，ArcGIS Online的开发商为Esri China (Hong Kong) Limited。