私隐及资讯保障
私隐保障及资讯保安
详细说明
- 承办商管理:
- 承办商进行系统开发和维护工作时,只会使用测试数据,并只能在开发及测试的系统环境中工作,因此不会接触到任何市民的个人资料
- 政府资讯科技总监办公室亦会为需要存取个人资料的相关人员订立权限,并有适切的监察措施
- 系统管理:
- 政府资讯科技总监办公室会确保「智方便」系统的核心数据(包括用户的个人资料)以国际认可和通行的高级加密标准加密和储存于政府数据中心
- 资料传输时会根据符合业界加密标准的传输层安全协议为资料加密,确保数据安全和完整地在互联网上传送
- 私隐保障及保安认证:
- 市民通过个人流动电话或自助登记站登记时拍摄的身份证相片及个人照,在用作核实身份后会被即时删除
- 登记时提供的其他个人资料只会作「智方便」及「智方便+」用户管理之用,用户资料会加密,并储存于政府数据中心
- 政府资讯科技总监办公室会按国际标准 ISO 27001及 ISO 27701管理和保护用户资讯与私隐
系统安全标准及认证列表
- 政府资讯
科技保安
政策及指引 - 《个人资料
(私隐)条例》
(香港法例第486章) - 线上快速
身份认证
(Fast IDentity
Online) - OAuth 2.0
授权协议 - 公开密码匙
基础设施
(Public Key
Infrastructure) - 资讯保安与
私隐管理国际标准
ISO 27001及
ISO 27701
- 政府资讯科技总监办公室已制定和维持一套全面的资讯科技保安政策、标准、指引、程序及相关实务指引,当中包括:
- 《基准资讯科技保安政策》
- 《资讯科技保安指引》
- 《保安风险评估及审计实务指引》
- 《资讯保安事故处理实务指引》
- 这些程序和指引參考国际标准、业界良好作业模式和专业资源制定。政府资讯科技总监办公室亦不时检讨相关程序和指引,以应对新兴技术带来的安全威胁
- 在下述范畴严格遵循《个人资料(私隐)条例》和政府资讯科技保安政策及指引,包括:
- 数据存储
- 网络通讯
- 用户管控和应用系统的安全
- 保障个人资料的保安措施
- 政府资讯科技总监办公室已徵询个人资料私隐专员的意见,以及为系统进行独立第三方个人私隐影响评估及资讯科技保安审计,并落实有关资讯保安及私隐保障的要求。
- 平台採用线上快速身份认证通用认证框架(Fast IDentity Online Universal Authentication Framework, FIDO UAF)进行身份认证。该框架是一个认证规约,容许网上服务提供没有密码的多重认证。用户验证(用户生物特徵校验等)只在流动装置内执行,过程不会传递任何生物特徵资料到流动装置以外
- OAuth 2.0 授权协议是一种授权标准协议,用于跨平台的身份授权。它允许用户授权第三方应用程式存取他们储存在另一个服务中的资料,而无需将用户名称和密码提供给第三方应用程式。「智方便」系统参考了OAuth 2.0 授权协议作为「智方便」及「智方便+」用户、网上服务和「智方便」系统之间的认证及授权,确保系统安全可靠。
- 提供予用户的数码证书採用公开密码匙基础建设(Public Key Infrastructure,PKI),确保用户在安全可靠的环境进行网上电子交易。
- 此保安架构主要利用公开密码匙加密技术来保障资讯的保密性、完整性、真确性及不可否认性。
- 政府资讯科技总监办公室会按国际标准 ISO 27001及 ISO 27701管理和保护用户资讯与私隐,并会在平台推出后按以上标准进行认证工作。
- 系统的开发和营运均採用国际标准化组织(ISO)及国际电工委员会(IEC)订立的资讯保安管理系统(ISO 27001)及措施,包括订定和严格执行各人员存取资料的权限,防止未经许可人士存取系统内的个人资料