2023年“香港企业网络保安准备指数”录得历来最大跌幅 员工网络保安意识仍需大幅改善

（香港，2023年11月14日）香港生产力促进局 ‧ 网络安全（生产力局 ‧ 网络安全）及香港个人资料私隐专员公署（私隐专员公署）今日共同公布“香港企业网络保安准备指数及私隐认知度”调查报告结果，“香港企业网络保安准备指数”录得47.0点（最高100点），较去年下挫6.3点，亦是自指数成立以来录得最大跌幅。中小企（43.6点）及大型企业（62.5点）的指数均录得跌幅，分别下跌7.1点及4.1点。

香港企业网络保安准备指数

“香港企业网络保安准备指数”由“保安政策风险评估”、“技术控制”、“流程控制”和“建立员工意识”四个范畴组成。今年，“流程控制”（68.1点）继续于所有分项指数居首，属“具管理能力”¹级别。然而，“技术控制”（55.1点）因较少企业进行系统保安修补管理，而且企业所采取的网络威胁防御措施亦有所减少而急挫11.2点，“保安政策风险评估”（39.7点）亦由于较少企业进行网络保安风险评估而下挫8.9点至历来低点。另外，“建立员工意识”继续在25点低位停留，继续是值得关注的范畴。

按行业而言，金融服务业（64.9点）及资讯和通讯技术业（63.3点）继续并列“具管理能力”级别，当中资讯和通讯技术业更是唯一于本年录得指数增幅的行业。另一方面，制造、贸易和物流业（48.6，-8.9点）及零售和旅游相关行业（33.3，-12.5点）录得较大跌幅，而后者更跌至“措施不一致”级别。

调查又发现，近四分之三（73%）的受访企业在过去12个月内曾遇到最少一类网络安全攻击，较去年再飙升八个百分点至历来新高。数字上升主要来自更多中小企受网络安全攻击，较去年大幅上升10个百分点。当中，钓鱼攻击继续是几乎所有有关企业遇到的最常见的网络安全攻击类型（96%）。除网络钓鱼电子邮件（79%）及网络钓鱼电话（35%）等常见主要钓鱼攻击外，调查亦发现网络钓鱼简讯（34%，+14百分点）及社交媒体钓鱼（16%，+6百分点）较去年常见。另外，新兴的钓鱼攻击模式，例如使用人工智能（AI）或生成式AI及使用二维码的钓鱼攻击亦分别录得9%及8%。

生产力局数码转型部总经理陈仲文先生表示：“是次调查结果值得关注。一方面，本年的‘香港企业网络安全准备指数’录得历来最大跌幅，主要是由于企业在‘网络保安风险评估’有所松懈，进行‘系统保安修补管理’及采取‘网络威胁防御措施’亦有所减少。另外，‘建立员工意识’分项指数今年继续在25点低位停留，反映人员的网络安全意识有急切改善的需要。另一方面，网络攻击的情况日益严重，在过去12个月曾受网络攻击的企业百分比，较去年再度上升八个百分点至73%的历来新高，当中超过九成有关企业曾受到钓鱼攻击，而钓鱼攻击的方式亦较以往变得更像真且更多样化。人类是网络安全中最薄弱的环节，很多网络攻击之所以成功，都是由于人员疏忽而造成。另外，香港电脑保安事故协调中心（HKCERT）的事故报告统计资料显示，在2023年1月至9月期间，钓鱼攻击的事故报告已占所有网络保安事故的一半² ，可见钓鱼攻击已对网络保安构成巨大威胁。对此，生产力局强烈建议企业除增加在‘网络保安风险评估’、‘系统保安修补管理’及‘网络威胁防御措施’方面的投放外，亦应该尽快加强员工的网络安全意识。除了定期为所有员工提供培训外，亦应定期进行网络安全演习。企业亦可利用HKCERT最新推出的‘网络钓鱼 全城防御’网上专页³所提供的材料，为员工进行钓鱼意识培训。”

私隐认知度调查

今年专题调查探讨受访企业在保护个人资料私隐方面的认知及所采取的措施，以及对香港的个人资料私隐保障的意见。调查结果发现，企业整体认为运用新兴科技⁴有私隐风险，平均值由2.75分至3.06分（以1分为认为没有风险，5分为认为极高风险 ）⁵。当中，这些企业认为运用生成式人工智能所涉及的私隐风险最高，达3.06分，而Cookies和其他线上追踪器（3.00分）、云端计算（2.92分）及物联网（2.83分）则紧随其后。值得注意的是，在正在运用这些科技的企业（37%）当中，只有约一半（48%）有提供相应内部指引，以应对相关科技所带来的私隐风险。就使用生成式人工智能而制定相关指引的企业更低至只有四成（41%）。

调查亦发现，整体有76%受访企业认为遵守《个人资料（私隐）条例》（《私隐条例》）“没有太大困难”，当中更有42%认为“完全没有困难”，另一方面，“数据处理渐趋复杂”、“缺乏员工知识或教育”及“资源不足”是企业认为遵守《私隐条例》的三大主要挑战。就香港的个人资料私隐保障水平方面，稍高于一半（51%）的受访企业持中立态度，而有18%则认为“充足”或“非常充足”。

整体来说，较多大型企业会推行或采取不同保护私隐及资料保安的措施，例如一半大型企业（51%）已开始或完全实施个人资料私隐管理系统（私隐管理系统），但超过一半中小企（55%）则未有考虑实施。另一方面，近八成大型企业（79%）已实践不同保护私隐及资料保安的措施，包括制订处理个人资料的内部政策、于高级管理层会议上讨论和肯定个人资料私隐管理系统的重要性、设有个人资料外泄通报机制及向员工提供有关私隐的培训等。然而，有实践保护私隐及资料保安的措施的中小企只得54%。

个人资料私隐专员钟丽玲女士表示：“保护个人资料私隐是维护网络安全不可或缺的一部分，私隐专员公署建议企业，不论大小，应采取保护个人资料私隐的措施，例如实施私隐管理系统及制定个人资料外泄应变计划及通报机制，加强员工培训及网络安全意识，以加强数据治理及数据安全。”

调查由私隐专员公署委托生产力局 ‧ 网络安全独立进行，旨在评估香港企业在应对网络保安威胁方面是否准备就绪，以及公众对私隐相关议题的意识。最新的调查在2023年9月透过电话访问了378间企业，涵盖六个行业⁶。

请按此下载“香港企业网络保安准备指数及私隐认知度”调查报告。

HKCERT推出“网络钓鱼 全城防御”网上专页

钓鱼攻击已成为普罗大众最常遭遇的网络攻击之一，而且情况日益严重，HKCERT最新推出的“网络钓鱼 全城防御”网上专页，提供“一站式”防钓鱼资讯，向普罗大众提供最新资讯及个案分析，提高公众对钓鱼攻击的认知。

请按此浏览“网络钓鱼 全城防御”网上专页。

生产力局 ‧ 网络安全推出“网络钓鱼防御服务”

为进一步加强员工网络安全意识，并协助他们了解网络钓鱼攻击的不同形式及技巧，生产力局 ‧ 网络安全推出“网络钓鱼防御服务”。服务除了包括为企业设计网络钓鱼题材／场景，及进行网络钓鱼演练外，亦会就演习结果进行分析并提供建议及培训。服务模拟最新钓鱼攻击进行演练，让企业更清楚了解钓鱼攻击的最新发展及攻击技巧。

请按此浏览生产力局 ‧ 网络安全“网络钓鱼防御服务”的服务详情。

私隐专员公署推出“数据安全”专题网页及“数据安全快测”

为了让企业可一站式取得有关资料保安的资讯，并协助他们提升保护数据的能力及遵从《私隐条例》的规定，私隐专员公署今日在公署的网站上推出“数据安全”专题网页及“数据安全快测”，并设立“数据安全”热线2110 1155。

“数据安全”专题网页让企业可以便捷地取得与资料保安有关的资料，包括保安提示、最新数据安全消息、资料外泄事故通报的资料、《私隐条例》的相关规定、案例及教育资讯等。另外，“数据安全快测”是一个自我评估工具，让企业就其资讯及通讯科技系统的资料保安措施是否足够进行快捷方便的自我评估。

请按此浏览“数据安全”专题网页，并按此进行“数据安全快测”。

¹ 指数级别分为五级，排名由高至低依次为“具前瞻能力”（80-100）、“具管理能力”（60-79）、“具基本措施”（40-59）、“措施不一致”（20-39）及“缺乏意识”（0-19）

² 资料来源：HKCERT

³ “网络钓鱼 全城防御”网上专页：https://www.hkcert.org/tc/publications/all-out-anti-phishing

⁴ 调查涵盖的新兴科技包括“生成式人工智能”、“数据分析及营运流程自动化”、“物联网”、“区块链相关技术”、“云端计算”及“Cookies和其他线上追踪器”

⁵ 企业预计运用相关科技所涉及的私隐风险以1至5分显示，风险程度由低至高依次为“1-没有风险”、“2-低风险”、“3-中度风险”、“4-高风险”及“5-极高风险”

⁶ 调查所涵盖的六个行业包括“金融服务”、“零售和旅游相关”、“专业服务”、“资讯和通讯技术”、“制造、贸易和物流”及“非牟利机构、学校和其他”

- 完 -

生产力局数码转型部总经理陈仲文指出，“香港企业网络保安准备指数”录得47.0点，较去年下挫6.3点，是自指数成立以来录得最大跌幅。

私隐专员钟丽玲介绍在私隐专员公署的网站上推出的“数据安全”专题网页及“数据安全快测”，并设立“数据安全”热线2110 1155。

私隐专员钟丽玲（左）及生产力局数码转型部总经理陈仲文（右）共同公布“香港企业网络保安准备指数及私隐认知度”调查报告结果。