香港生产力促进局：香港企业网络保安准备指数及私隐认知度调查报告（繁体版）（8页）.pdf

1、 香港企業網絡保安準備指數及 私隱認知度調查 2023 第 2 頁 1.總結及建議 1.1 主要調查結果 香港企業網絡保安準備指數 整體指數下跌 6.3 點至 47.0 點，是自 2018 年指數推出以來錄得的最大跌幅。中小企（43.6點）和大企1（62.5 點）的指數都有所下跌，當中中小企的指數的跌幅較大（-7.1 點）。儘管大企的指數再度下跌 4.1 點，但仍維持在具管理能力的水平。金融服務業（64.9 點）及資訊和通訊技術業（63.3 點）仍然保持在具管理能力的網絡安全準備水平，而後者更是唯一一個指數錄得升幅的行業。雖然製造、貿易和物流業（48.6點）、非牟利機構、學校和其他行業（45.

2、9 點）及專業服務業（43.5 點）均錄得不同程度的跌幅，但仍然維持在具基本措施水平。然而，零售和旅遊業（33.3 點）錄得的跌幅最大，下跌 12.5 點至措施不一致網絡安全準備水平。企業過去 12 個月遇到的網絡安全攻擊 73%的受訪企業於過去 12 個月內曾遇到最少一類網絡安全攻擊，不論這些攻擊是否導致企業承受經濟損失。與 2022 年相比，網絡安全攻擊的發生率顯著上升 8 個百分點至歷來新高，而其於中小企的發生率更大幅上升達 10 個百分點。釣魚攻擊繼續是最普遍的網絡安全攻擊類型，96%於過去 12 個月內曾遇到網絡安全攻擊的企業都表示曾受到此類攻擊。當中，網絡釣魚電子郵件（79%）繼續

3、是最常見的釣魚攻 1 大企是指聘用 100 名員工或以上的製造業企業，或聘用 50 名員工或以上的非製造業企業。第 3 頁 擊模式，而網絡釣魚簡訊（34%，+14 百分點）及社交媒體釣魚（16%，+6 百分點）亦較以往常見。另外，9%及 8%於過去 12 個月內曾遇到網絡安全攻擊的企業分別表示曾受到使用人工智能（AI）或生成式 AI 的釣魚攻擊及使用二維碼的釣魚攻擊等新興的釣魚攻擊。受訪企業遇到的網絡安全攻擊類型（外部攻擊，內部攻擊及對外合作夥伴引起的攻擊）方面，外部攻擊繼續飆升 13 個百分點至歷來新高 72%。雖然內部攻擊的發生率跌至 3%的低水平，但由外部合作夥伴引起的攻擊的發生率，即使

4、較去年改善至 7%，數字仍然相對較高。需提高人員對網絡安全的意識 即使網絡安全水平較過去有所提高，而且大多數網絡安全攻擊可以被偵測及預防，但人員仍然是網絡安全的關鍵。人員意識能協助預防網絡安全攻擊發生。然而，是次調查結果反映這方面的意識並沒有明顯改善：1.人員意識分項指數仍然停留在 25.2 點的低位，處於措施不一致水平的邊緣；2.釣魚攻擊仍然是一個相當棘手的問題，其攻擊類型亦變得多樣化，但是這些攻擊可以透過恰當的人員意識教育去預防。然而，在是次調查中，仍然只有 28%的受訪企業曾在過去 12 個月進行員工安全意識培訓，另外更只有五分之一的企業曾進行網絡安全演習。實施個人資料私隱管理系統（PM

5、P）和實踐保護私隱及資料保安的措施 調查發現，大企實施 PMP 和實踐各種保護私隱及資料保安的措施的情況較普遍：1.近一半（48%）的大企已完全實施PMP，但 55%的中小企未有計劃實施；及 2.79%的大企已經實踐至少一項保護私隱及資料保安的措施，但中小企的相關數字只得54%。企業所採取的保護私隱及資料保安的措施方面，其中一些較常實踐的措施屬 PMP 組件內機構的決心及系統管控措施，包括：1.75%已制訂處理個人資料的內部政策；2.63%在過去 24 個月內於董事會會議和或高級管理層會議上討論和肯定 PMP 的重要性；3.55%有個人資料外洩通報機制；及 4.53%向員工提供有關私隱的培訓，

6、包括有關個人資料（私隱）條例的培訓。第 4 頁 另一方面，實踐 PMP 內持續評估及修訂組件相關的措施（例如有關個人資料處理方式個人資料私隱管理系統的持續審查程序）則比較少見（46%）。其他較少企業實踐的 PMP 措施包括：1.有個人資料外洩應變計劃（46%）；2.有保障資料主任，或專門的保護個人資料的部門（44%）；及 3.有政策就涉及個人資料的項目計劃進行私隱影響評估（41%）/曾進行過私隱影響評估（39%）。運用新興科技和對新興科技所帶來的私隱風險的認知 企業不論是否運用新興科技，即生成式人工智能、數據分析及營運流程自動化、物聯網（IoT）、區塊鏈相關技術、雲端計算及 Cookies 和