11月21日，香港生產(chǎn)力促進局（生產(chǎn)力局）及香港個人資料私隱專員公署（私隱專員公署）共同公布“香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)及AI安全風(fēng)險”調(diào)查報告結(jié)果，“香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)”錄得52.8點（最高100點），較去年上升5.8點，重回接近2022年水平，但仍然維持于“具基本措施”級別¹，可見企業(yè)仍然有很大的進步空間。中小企（48.4點）及大型企業(yè)（73.1點）的指數(shù)均錄得升幅，分別上升4.8點及10.6點，大型企業(yè)的指數(shù)更升至有紀(jì)錄以來最高。

生產(chǎn)力局?jǐn)?shù)碼轉(zhuǎn)型部總經(jīng)理陳仲文（右）及個人資料私隱專員鐘麗玲（左）共同公布″香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)及AI安全風(fēng)險″調(diào)查報告結(jié)果。

香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)

“香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)”由“保安政策及風(fēng)險評估”、“技術(shù)控制”、“流程控制”和“員工網(wǎng)絡(luò)保安意識”四個范疇組成。在本年度，“流程控制”（70.9點）微升2.8點，繼續(xù)在所有分項指數(shù)居首，屬″具管理能力″級別；該分項指數(shù)也有上升趨勢，由2018年的57.3點，升至本年的70.9點。同樣地，“技術(shù)控制”（57.3點）也較去年微升2.2點，并由2018年的36.9點，即“措施不一致”級別，上升至57.3點，即“具基本措施”級別。“保安政策及風(fēng)險評估”（52.1點）于今年大幅回升12.4點，重回“具基本措施”級別。另外，“員工網(wǎng)絡(luò)保安意識”于今年上升5.7點至30.9點，惟該范疇自2018年仍然屬“措施不一致”級別。調(diào)查發(fā)現(xiàn)，只有三分之一（35%）的受訪企業(yè)有為員工進行網(wǎng)絡(luò)安全意識培訓(xùn)，以及只有四分之一（24%）有進行演習(xí)以加強員工的網(wǎng)絡(luò)安全意識；顯示企業(yè)需在這兩方面加強。

行業(yè)指數(shù)方面，金融服務(wù)業(yè)（68.3點）繼續(xù)維持在″具管理能力″級別。不過，零售和旅游相關(guān)行業(yè)（45.3點，+12.0點）及專業(yè)服務(wù)業(yè)（46.0點，+2.5點）的指數(shù)雖有升幅，但仍然是所有行業(yè)中最低，且低于50點水平線。

調(diào)查顯示，近七成（69%）的受訪企業(yè)在過去12個月內(nèi)曾遇到至少一類網(wǎng)絡(luò)安全攻擊，較去年稍微下跌四個百分點，但仍高于2022年的水平（65%）。數(shù)字的下降主要是由于受網(wǎng)絡(luò)安全攻擊的中小企百分比有所減少，較去年稍跌四個百分點。盡管如此，仍然有超過七成（71%）大型企業(yè)受網(wǎng)絡(luò)安全攻擊，與去年數(shù)字相若。其中，釣魚攻擊依然是最常見的網(wǎng)絡(luò)安全攻擊類型，98%的企業(yè)曾在今年遇過這類攻擊，數(shù)字按年上升兩個百分點。除網(wǎng)絡(luò)釣魚電子郵件（79%）及假冒其他機構(gòu)的網(wǎng)絡(luò)廣告（42%）等常見的釣魚攻擊外，調(diào)查也發(fā)現(xiàn)網(wǎng)絡(luò)釣魚簡訊（38%，+4百分點）較去年更為普遍。

生產(chǎn)力局?jǐn)?shù)碼轉(zhuǎn)型部總經(jīng)理陳仲文表示：″本年指數(shù)雖然錄得回升，但仍只屬基本水平。指數(shù)改善主要是由于較多企業(yè)在今年有進行網(wǎng)絡(luò)安全風(fēng)險評估，以及有邀請第三方機構(gòu)評核IT系統(tǒng)。另外，‘員工網(wǎng)絡(luò)保安意識‘仍有待加強，員工缺乏意識有可能成為企業(yè)網(wǎng)絡(luò)安全其中一個最大的漏洞，企業(yè)應(yīng)從多方面強化員工的網(wǎng)絡(luò)安全意識，包括每年為所有員工進行網(wǎng)絡(luò)安全意識培訓(xùn)，以更新員工對最新網(wǎng)絡(luò)安全的知識；培訓(xùn)內(nèi)容也需針對人員進行角色為基礎(chǔ)培訓(xùn)。企業(yè)也需要定期進行釣魚測試及網(wǎng)絡(luò)安全演習(xí)，以監(jiān)測及處理表現(xiàn)較弱的范疇。中小企在考慮提升網(wǎng)絡(luò)安全級別時也要顧及其風(fēng)險承擔(dān)的程度，需要面對的風(fēng)險越高，他們應(yīng)該達(dá)到的網(wǎng)絡(luò)安全水平就越高。另一方面，近七成的受訪企業(yè)在過去12個月曾遇到至少一類網(wǎng)絡(luò)安全攻擊，當(dāng)中超過九成表示受到網(wǎng)絡(luò)釣魚攻擊，與去年數(shù)字相若。香港網(wǎng)絡(luò)安全事故協(xié)調(diào)中心（HKCERT）的事故報告統(tǒng)計資料顯示，今年1月至10月期間，HKCERT處理的安全事故總數(shù)已達(dá)10,020宗，已超越2023年的事故總數(shù)，創(chuàng)下歷史新高；HKCERT也接獲35,379個釣魚網(wǎng)站的報告，較2023年同比增加了127%，釣魚攻擊的事故報告已占所有網(wǎng)絡(luò)安全事故的62.22%²。除了提高員工的網(wǎng)絡(luò)安全意識外，企業(yè)可參考HKCERT推出的‘中小企保安事故應(yīng)變指南’，制定企業(yè)網(wǎng)絡(luò)安全事故應(yīng)變計劃及定期進行安全審計，識別并修補可能存在的安全漏洞。″

生產(chǎn)力局?jǐn)?shù)碼轉(zhuǎn)型部總經(jīng)理陳仲文指出，本年度″香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)″雖然錄得回升，但仍只屬基本水平。

人工智能（AI）安全與隱私風(fēng)險調(diào)查

今年專題調(diào)查探討受訪企業(yè)在使用AI方面的情況及所采取的安全風(fēng)險措施。調(diào)查結(jié)果發(fā)現(xiàn)，近七成企業(yè)（69%）認(rèn)為在運營中使用AI會帶來顯著的隱私風(fēng)險。整體來說，約五分之一的企業(yè)（21%）現(xiàn)時有在運營中使用AI，而大型企業(yè)的使用率則較高，超過四成（43%）。

在運營中使用AI的企業(yè)中，約三分之二（65%）有采用至少一項數(shù)據(jù)安全防護措施，而大型企業(yè)的占比更接近八成（79%），顯示大型企業(yè)比中小企更著重數(shù)據(jù)安全防護，以確保公司使用AI工具的數(shù)據(jù)安全。較多企業(yè)采用的數(shù)據(jù)安全防護措施是″存取控制″（41%）及數(shù)據(jù)保護措施（例如加密數(shù)據(jù)、將個人資料匿名化）（39%）。不過，較少企業(yè)會使用專門針對機器學(xué)習(xí)攻擊的保護措施（14%）或留意與AI相關(guān)的安全警報（13%）。

另外，四分之三（75%）在運營中使用AI的企業(yè)皆表示使用AI時不會向第三方提供數(shù)據(jù)，當(dāng)中，會向第三方提供數(shù)據(jù)的企業(yè)大部分只提供一些公開的數(shù)據(jù)（14%）及匿名化和聚合數(shù)據(jù)（8%），顯示企業(yè)在處理數(shù)據(jù)方面持謹(jǐn)慎態(tài)度。就企業(yè)遇到個人資料外泄事故的應(yīng)變計劃方面，雖然有超過六成（61%）在運營中有使用AI的企業(yè)有制定針對資料外泄事故的應(yīng)變計劃，但只有少于兩成（16%）包含應(yīng)對AI相關(guān)的事故。

調(diào)查也發(fā)現(xiàn)，大型企業(yè)較中小企更積極提供AI相關(guān)的培訓(xùn)及制定關(guān)于AI安全風(fēng)險的政策。在運營中使用AI的企業(yè)中，有超過八成（82%）大型企業(yè)現(xiàn)時有或計劃為員工提供有關(guān)AI的培訓(xùn)，而有超過七成（74%）大型企業(yè)已制定或計劃制定關(guān)于AI安全風(fēng)險的政策，但中小企分別只占一半左右（52%及45%）。另一方面，只有少于兩成（17%）的受訪中小企表示計劃在未來12個月內(nèi)增加使用AI技術(shù)以加強數(shù)據(jù)和網(wǎng)絡(luò)安全；然而，超過四成大型企業(yè)（46%）有相關(guān)計劃。

個人資料私隱專員鐘麗玲表示：″私隱專員公署一直積極推動保障數(shù)據(jù)安全的工作，今年的’香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)’較去年上升5.8點，當(dāng)中大型企業(yè)的指數(shù)更升至有紀(jì)錄以來最高。而人工智能安全是國家安全的重點領(lǐng)域之一，隨著AI應(yīng)用日漸普及，AI的隱私風(fēng)險及數(shù)據(jù)安全不容忽視，企業(yè)不論規(guī)模大小，均有責(zé)任在善用AI之余，采用數(shù)據(jù)安全防護措施保障個人資料隱私。私隱專員公署鼓勵企業(yè)參考公署出版的《人工智能（AI）：個人資料保障模范框架》，以確保企業(yè)采購、實施及使用AI時，遵從《個人資料（私隱）條例》的相關(guān)規(guī)定，加強保障數(shù)據(jù)安全?！?/span>

個人資料私隱專員鐘麗玲介紹人工智能（AI）安全與私隱風(fēng)險調(diào)查的結(jié)果。

調(diào)查由私隱專員公署委托生產(chǎn)力局獨立進行，旨在評估香港企業(yè)在應(yīng)對網(wǎng)絡(luò)安全威脅及AI安全風(fēng)險方面是否準(zhǔn)備就緒，以及公眾對隱私相關(guān)議題的意見。最新的調(diào)查在2024年9月至10月通過電話訪問442間企業(yè)，涵蓋六個行業(yè)³。

生產(chǎn)力局與私隱專員公署共同推出″中小企數(shù)據(jù)安全培訓(xùn)系列″

為協(xié)助中小企加強保障數(shù)據(jù)安全，生產(chǎn)力局及私隱專員公署將于2025年聯(lián)合推出數(shù)據(jù)安全培訓(xùn)系列，主題包括：（i）近年資料外泄個案分享；（ii）資料安全措施建議；及（iii）如何預(yù)防及處理資料外泄事故。

私隱專員公署推出″數(shù)據(jù)安全″套餐

為協(xié)助學(xué)校、非牟利機構(gòu)及中小企加強保障數(shù)據(jù)安全、網(wǎng)絡(luò)安全，私隱專員公署已推出″數(shù)據(jù)安全″套餐，參加″數(shù)據(jù)安全″套餐的機構(gòu)可免費進行″數(shù)據(jù)安全快測″，評估其數(shù)據(jù)安全措施是否足夠，并在完成″快測″后享有五個免費名額參加由公署舉辦的研習(xí)班及講座。此外，公署也已推出″數(shù)據(jù)安全″專題網(wǎng)頁及″數(shù)據(jù)安全″熱線2110 1155，提供相關(guān)資訊及協(xié)助。有意參加的學(xué)校、非牟利機構(gòu)及中小企可電郵至training@pcpd.org.hk查詢。

生產(chǎn)力局推出″網(wǎng)絡(luò)釣魚防御服務(wù)″

生產(chǎn)力局持續(xù)加強對中小企的多元化服務(wù)及支持，提升中小企業(yè)網(wǎng)絡(luò)安全意識及防范能力。為進一步加強員工網(wǎng)絡(luò)安全意識，并協(xié)助他們了解網(wǎng)絡(luò)釣魚攻擊的不同形式及技巧，生產(chǎn)力局推出″網(wǎng)絡(luò)釣魚防御服務(wù)″。服務(wù)除了包括為企業(yè)設(shè)計網(wǎng)絡(luò)釣魚題材/場景，及進行網(wǎng)絡(luò)釣魚演練外，也會就演習(xí)結(jié)果進行分析并提供建議及培訓(xùn)。服務(wù)模擬最新釣魚攻擊進行演練，讓企業(yè)更清楚了解釣魚攻擊的最新發(fā)展及攻擊技巧。

瀏覽生產(chǎn)力局″網(wǎng)絡(luò)釣魚防御服務(wù)″的服務(wù)詳情：https://www.hkpc.org/zh-CN/our-services/digital-transformation/cyber-security/phishing-defence-services

注釋：

1. 指數(shù)級別分為五級，排名由高至低依次為″具前瞻能力″（80-100）、″具管理能力″（60-79）、″具基本措施″（40-59）、″措施不一致″（20-39）及″缺乏意識″（0-19）

2. 資料來源：HKCERT

3. 調(diào)查所涵蓋的六個行業(yè)包括″零售和旅游相關(guān)″、″制造、貿(mào)易和物流″、″非牟利機構(gòu)、學(xué)校和其他″、″金融服務(wù)″、″專業(yè)服務(wù)″及″資訊和通訊技術(shù)″