港府资安新规！公务员办公室用WhatsApp、Gmail等须获批

香港特区政府总部。（图／取自香港电台）

港府4月更新规管各部门的资讯科技保安规定，指引中称政府雇员使用个人网路邮件、公共云端储存和网路版即时通讯服务会「带来重大保安风险」，要求只在有真正需要和合理理由、且获部门首长批准，才可使用三类程式。

香港《明报》报导，指引同时规定，部门也应设定网页过滤等措施，防止未经授权使用三类程式。若指引实施，香港公务员要使用办公室的电脑桌面版WhatsApp、微信、Google旗下Google drive、Gmail等，可能须事先批准。

港府发言人对此，更新版指引在4月公布，各决策局或部门须在6个月内采取措施，或制订实施计划，港府「数字政策办公室」会提供适切技术建议和支援。发言人称，面对网路威胁持续，一定要做好防范工作，各政策局及部门继续负起应有责任，继续落实新一轮更新的《政府资讯科技保安政策及指引》规定。

电脑安全研究员赖灼东说，类似规定早见于私人市场，如国际银行「限得好紧」，但认为很难「一刀切」要求政府雇员不用在办公室电脑用即时通讯软体，认为当局可研究用企业版本程式，或用政府提供的手机才使用部分程式。他又提醒，年初外泄资料问题主要源于外包的本地云端平台供应商问题，认为港府应研究是否应更换或限制使用肇事公司，或更换可信度高一点的品牌，不能贪便宜。

港府资科办（现数字政策办公室）在4月更新订下「强制性基本保安要求」的《基准资讯科技保安政策》，及制定相关实施标准的《资讯科技保安指引》。两套文件规管政府聘用的公务员及非公务员。

当中，《指引》提醒使用个人电邮、云端及网路版即时通讯程式可能导致未经授权披露敏感资料或资料外泄，新增部门须定期审慎检视（critically review）使用三类程式的必要性，并在获部门首长批准，人员才可授予权限使用；不再需要时应立即撤销权限。

港府发言人解释，由于网页版即时通讯程式可能增加资安风险，包括未经授权传输档案、误击诈骗网站连结等，故引入保安规定。发言人补充，若政府人员以部门提供的行动电话使用即时通讯程式，不需要事先获批准。