11月21日，香港生產(chǎn)力促進(jìn)局（生產(chǎn)力局）及香港個(gè)人資料私隱專員公署（私隱專員公署）共同公布“香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)及AI安全風(fēng)險(xiǎn)”調(diào)查報(bào)告結(jié)果，“香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)”錄得52.8點(diǎn)（最高100點(diǎn)），較去年上升5.8點(diǎn)，重回接近2022年水平，但仍然維持于“具基本措施”級別¹，可見企業(yè)仍然有很大的進(jìn)步空間。中小企（48.4點(diǎn)）及大型企業(yè)（73.1點(diǎn)）的指數(shù)均錄得升幅，分別上升4.8點(diǎn)及10.6點(diǎn)，大型企業(yè)的指數(shù)更升至有紀(jì)錄以來最高。

生產(chǎn)力局?jǐn)?shù)碼轉(zhuǎn)型部總經(jīng)理陳仲文（右）及個(gè)人資料私隱專員鐘麗玲（左）共同公布″香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)及AI安全風(fēng)險(xiǎn)″調(diào)查報(bào)告結(jié)果。

香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)

“香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)”由“保安政策及風(fēng)險(xiǎn)評估”、“技術(shù)控制”、“流程控制”和“員工網(wǎng)絡(luò)保安意識(shí)”四個(gè)范疇組成。在本年度，“流程控制”（70.9點(diǎn)）微升2.8點(diǎn)，繼續(xù)在所有分項(xiàng)指數(shù)居首，屬″具管理能力″級別；該分項(xiàng)指數(shù)也有上升趨勢，由2018年的57.3點(diǎn)，升至本年的70.9點(diǎn)。同樣地，“技術(shù)控制”（57.3點(diǎn)）也較去年微升2.2點(diǎn)，并由2018年的36.9點(diǎn)，即“措施不一致”級別，上升至57.3點(diǎn)，即“具基本措施”級別。“保安政策及風(fēng)險(xiǎn)評估”（52.1點(diǎn)）于今年大幅回升12.4點(diǎn)，重回“具基本措施”級別。另外，“員工網(wǎng)絡(luò)保安意識(shí)”于今年上升5.7點(diǎn)至30.9點(diǎn)，惟該范疇自2018年仍然屬“措施不一致”級別。調(diào)查發(fā)現(xiàn)，只有三分之一（35%）的受訪企業(yè)有為員工進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，以及只有四分之一（24%）有進(jìn)行演習(xí)以加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)；顯示企業(yè)需在這兩方面加強(qiáng)。

行業(yè)指數(shù)方面，金融服務(wù)業(yè)（68.3點(diǎn)）繼續(xù)維持在″具管理能力″級別。不過，零售和旅游相關(guān)行業(yè)（45.3點(diǎn)，+12.0點(diǎn)）及專業(yè)服務(wù)業(yè)（46.0點(diǎn)，+2.5點(diǎn)）的指數(shù)雖有升幅，但仍然是所有行業(yè)中最低，且低于50點(diǎn)水平線。

調(diào)查顯示，近七成（69%）的受訪企業(yè)在過去12個(gè)月內(nèi)曾遇到至少一類網(wǎng)絡(luò)安全攻擊，較去年稍微下跌四個(gè)百分點(diǎn)，但仍高于2022年的水平（65%）。數(shù)字的下降主要是由于受網(wǎng)絡(luò)安全攻擊的中小企百分比有所減少，較去年稍跌四個(gè)百分點(diǎn)。盡管如此，仍然有超過七成（71%）大型企業(yè)受網(wǎng)絡(luò)安全攻擊，與去年數(shù)字相若。其中，釣魚攻擊依然是最常見的網(wǎng)絡(luò)安全攻擊類型，98%的企業(yè)曾在今年遇過這類攻擊，數(shù)字按年上升兩個(gè)百分點(diǎn)。除網(wǎng)絡(luò)釣魚電子郵件（79%）及假冒其他機(jī)構(gòu)的網(wǎng)絡(luò)廣告（42%）等常見的釣魚攻擊外，調(diào)查也發(fā)現(xiàn)網(wǎng)絡(luò)釣魚簡訊（38%，+4百分點(diǎn)）較去年更為普遍。

生產(chǎn)力局?jǐn)?shù)碼轉(zhuǎn)型部總經(jīng)理陳仲文表示：″本年指數(shù)雖然錄得回升，但仍只屬基本水平。指數(shù)改善主要是由于較多企業(yè)在今年有進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估，以及有邀請第三方機(jī)構(gòu)評核IT系統(tǒng)。另外，‘員工網(wǎng)絡(luò)保安意識(shí)‘仍有待加強(qiáng)，員工缺乏意識(shí)有可能成為企業(yè)網(wǎng)絡(luò)安全其中一個(gè)最大的漏洞，企業(yè)應(yīng)從多方面強(qiáng)化員工的網(wǎng)絡(luò)安全意識(shí)，包括每年為所有員工進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，以更新員工對最新網(wǎng)絡(luò)安全的知識(shí)；培訓(xùn)內(nèi)容也需針對人員進(jìn)行角色為基礎(chǔ)培訓(xùn)。企業(yè)也需要定期進(jìn)行釣魚測試及網(wǎng)絡(luò)安全演習(xí)，以監(jiān)測及處理表現(xiàn)較弱的范疇。中小企在考慮提升網(wǎng)絡(luò)安全級別時(shí)也要顧及其風(fēng)險(xiǎn)承擔(dān)的程度，需要面對的風(fēng)險(xiǎn)越高，他們應(yīng)該達(dá)到的網(wǎng)絡(luò)安全水平就越高。另一方面，近七成的受訪企業(yè)在過去12個(gè)月曾遇到至少一類網(wǎng)絡(luò)安全攻擊，當(dāng)中超過九成表示受到網(wǎng)絡(luò)釣魚攻擊，與去年數(shù)字相若。香港網(wǎng)絡(luò)安全事故協(xié)調(diào)中心（HKCERT）的事故報(bào)告統(tǒng)計(jì)資料顯示，今年1月至10月期間，HKCERT處理的安全事故總數(shù)已達(dá)10,020宗，已超越2023年的事故總數(shù)，創(chuàng)下歷史新高；HKCERT也接獲35,379個(gè)釣魚網(wǎng)站的報(bào)告，較2023年同比增加了127%，釣魚攻擊的事故報(bào)告已占所有網(wǎng)絡(luò)安全事故的62.22%²。除了提高員工的網(wǎng)絡(luò)安全意識(shí)外，企業(yè)可參考HKCERT推出的‘中小企保安事故應(yīng)變指南’，制定企業(yè)網(wǎng)絡(luò)安全事故應(yīng)變計(jì)劃及定期進(jìn)行安全審計(jì)，識(shí)別并修補(bǔ)可能存在的安全漏洞。″

生產(chǎn)力局?jǐn)?shù)碼轉(zhuǎn)型部總經(jīng)理陳仲文指出，本年度″香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)″雖然錄得回升，但仍只屬基本水平。

人工智能（AI）安全與隱私風(fēng)險(xiǎn)調(diào)查

今年專題調(diào)查探討受訪企業(yè)在使用AI方面的情況及所采取的安全風(fēng)險(xiǎn)措施。調(diào)查結(jié)果發(fā)現(xiàn)，近七成企業(yè)（69%）認(rèn)為在運(yùn)營中使用AI會(huì)帶來顯著的隱私風(fēng)險(xiǎn)。整體來說，約五分之一的企業(yè)（21%）現(xiàn)時(shí)有在運(yùn)營中使用AI，而大型企業(yè)的使用率則較高，超過四成（43%）。

在運(yùn)營中使用AI的企業(yè)中，約三分之二（65%）有采用至少一項(xiàng)數(shù)據(jù)安全防護(hù)措施，而大型企業(yè)的占比更接近八成（79%），顯示大型企業(yè)比中小企更著重?cái)?shù)據(jù)安全防護(hù)，以確保公司使用AI工具的數(shù)據(jù)安全。較多企業(yè)采用的數(shù)據(jù)安全防護(hù)措施是″存取控制″（41%）及數(shù)據(jù)保護(hù)措施（例如加密數(shù)據(jù)、將個(gè)人資料匿名化）（39%）。不過，較少企業(yè)會(huì)使用專門針對機(jī)器學(xué)習(xí)攻擊的保護(hù)措施（14%）或留意與AI相關(guān)的安全警報(bào)（13%）。

另外，四分之三（75%）在運(yùn)營中使用AI的企業(yè)皆表示使用AI時(shí)不會(huì)向第三方提供數(shù)據(jù)，當(dāng)中，會(huì)向第三方提供數(shù)據(jù)的企業(yè)大部分只提供一些公開的數(shù)據(jù)（14%）及匿名化和聚合數(shù)據(jù)（8%），顯示企業(yè)在處理數(shù)據(jù)方面持謹(jǐn)慎態(tài)度。就企業(yè)遇到個(gè)人資料外泄事故的應(yīng)變計(jì)劃方面，雖然有超過六成（61%）在運(yùn)營中有使用AI的企業(yè)有制定針對資料外泄事故的應(yīng)變計(jì)劃，但只有少于兩成（16%）包含應(yīng)對AI相關(guān)的事故。

調(diào)查也發(fā)現(xiàn)，大型企業(yè)較中小企更積極提供AI相關(guān)的培訓(xùn)及制定關(guān)于AI安全風(fēng)險(xiǎn)的政策。在運(yùn)營中使用AI的企業(yè)中，有超過八成（82%）大型企業(yè)現(xiàn)時(shí)有或計(jì)劃為員工提供有關(guān)AI的培訓(xùn)，而有超過七成（74%）大型企業(yè)已制定或計(jì)劃制定關(guān)于AI安全風(fēng)險(xiǎn)的政策，但中小企分別只占一半左右（52%及45%）。另一方面，只有少于兩成（17%）的受訪中小企表示計(jì)劃在未來12個(gè)月內(nèi)增加使用AI技術(shù)以加強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)安全；然而，超過四成大型企業(yè)（46%）有相關(guān)計(jì)劃。

個(gè)人資料私隱專員鐘麗玲表示：″私隱專員公署一直積極推動(dòng)保障數(shù)據(jù)安全的工作，今年的’香港企業(yè)網(wǎng)絡(luò)保安準(zhǔn)備指數(shù)’較去年上升5.8點(diǎn)，當(dāng)中大型企業(yè)的指數(shù)更升至有紀(jì)錄以來最高。而人工智能安全是國家安全的重點(diǎn)領(lǐng)域之一，隨著AI應(yīng)用日漸普及，AI的隱私風(fēng)險(xiǎn)及數(shù)據(jù)安全不容忽視，企業(yè)不論規(guī)模大小，均有責(zé)任在善用AI之余，采用數(shù)據(jù)安全防護(hù)措施保障個(gè)人資料隱私。私隱專員公署鼓勵(lì)企業(yè)參考公署出版的《人工智能（AI）：個(gè)人資料保障模范框架》，以確保企業(yè)采購、實(shí)施及使用AI時(shí)，遵從《個(gè)人資料（私隱）條例》的相關(guān)規(guī)定，加強(qiáng)保障數(shù)據(jù)安全?！?/span>

個(gè)人資料私隱專員鐘麗玲介紹人工智能（AI）安全與私隱風(fēng)險(xiǎn)調(diào)查的結(jié)果。

調(diào)查由私隱專員公署委托生產(chǎn)力局獨(dú)立進(jìn)行，旨在評估香港企業(yè)在應(yīng)對網(wǎng)絡(luò)安全威脅及AI安全風(fēng)險(xiǎn)方面是否準(zhǔn)備就緒，以及公眾對隱私相關(guān)議題的意見。最新的調(diào)查在2024年9月至10月通過電話訪問442間企業(yè)，涵蓋六個(gè)行業(yè)³。

生產(chǎn)力局與私隱專員公署共同推出″中小企數(shù)據(jù)安全培訓(xùn)系列″

為協(xié)助中小企加強(qiáng)保障數(shù)據(jù)安全，生產(chǎn)力局及私隱專員公署將于2025年聯(lián)合推出數(shù)據(jù)安全培訓(xùn)系列，主題包括：（i）近年資料外泄個(gè)案分享；（ii）資料安全措施建議；及（iii）如何預(yù)防及處理資料外泄事故。

私隱專員公署推出″數(shù)據(jù)安全″套餐

為協(xié)助學(xué)校、非牟利機(jī)構(gòu)及中小企加強(qiáng)保障數(shù)據(jù)安全、網(wǎng)絡(luò)安全，私隱專員公署已推出″數(shù)據(jù)安全″套餐，參加″數(shù)據(jù)安全″套餐的機(jī)構(gòu)可免費(fèi)進(jìn)行″數(shù)據(jù)安全快測″，評估其數(shù)據(jù)安全措施是否足夠，并在完成″快測″后享有五個(gè)免費(fèi)名額參加由公署舉辦的研習(xí)班及講座。此外，公署也已推出″數(shù)據(jù)安全″專題網(wǎng)頁及″數(shù)據(jù)安全″熱線2110 1155，提供相關(guān)資訊及協(xié)助。有意參加的學(xué)校、非牟利機(jī)構(gòu)及中小企可電郵至training@pcpd.org.hk查詢。

生產(chǎn)力局推出″網(wǎng)絡(luò)釣魚防御服務(wù)″

生產(chǎn)力局持續(xù)加強(qiáng)對中小企的多元化服務(wù)及支持，提升中小企業(yè)網(wǎng)絡(luò)安全意識(shí)及防范能力。為進(jìn)一步加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)，并協(xié)助他們了解網(wǎng)絡(luò)釣魚攻擊的不同形式及技巧，生產(chǎn)力局推出″網(wǎng)絡(luò)釣魚防御服務(wù)″。服務(wù)除了包括為企業(yè)設(shè)計(jì)網(wǎng)絡(luò)釣魚題材/場景，及進(jìn)行網(wǎng)絡(luò)釣魚演練外，也會(huì)就演習(xí)結(jié)果進(jìn)行分析并提供建議及培訓(xùn)。服務(wù)模擬最新釣魚攻擊進(jìn)行演練，讓企業(yè)更清楚了解釣魚攻擊的最新發(fā)展及攻擊技巧。

瀏覽生產(chǎn)力局″網(wǎng)絡(luò)釣魚防御服務(wù)″的服務(wù)詳情：https://www.hkpc.org/zh-CN/our-services/digital-transformation/cyber-security/phishing-defence-services

注釋：

1. 指數(shù)級別分為五級，排名由高至低依次為″具前瞻能力″（80-100）、″具管理能力″（60-79）、″具基本措施″（40-59）、″措施不一致″（20-39）及″缺乏意識(shí)″（0-19）

2. 資料來源：HKCERT

3. 調(diào)查所涵蓋的六個(gè)行業(yè)包括″零售和旅游相關(guān)″、″制造、貿(mào)易和物流″、″非牟利機(jī)構(gòu)、學(xué)校和其他″、″金融服務(wù)″、″專業(yè)服務(wù)″及″資訊和通訊技術(shù)″