私隐及资讯保障
在开发「智方便」平台过程中,政府资讯科技总监办公室一直严格遵循政府资讯科技保安政策及指引和《个人资料(私隐)条例》的规定
详细说明
- 承办商管理:
- 承办商进行系统开发和维护工作时,只会使用测试数据,并只能在开发及测试的系统环境中工作,因此不会接触到任何市民的个人资料
- 政府资讯科技总监办公室亦会为需要存取个人资料的相关人员订立权限,并有适切的监察措施
- 系统管理:
- 政府资讯科技总监办公室会确保「智方便」系统的核心数据(包括用户的个人资料)以国际认可和通行的高级加密标准加密和储存于政府数据中心
- 资料传输时会根据符合业界加密标准的传输层安全协议为资料加密,确保数据安全和完整地在互联网上传送
- 私隐保障及保安认证:
- 市民通过个人流动电话或自助登记站登记时拍摄的身份证相片及个人照,在用作核实身份后会被即时删除
- 登记时提供的其他个人资料只会作「智方便」及「智方便+」用户管理之用,用户资料会加密,并储存于政府数据中心
- 「智方便」服务获得ISO/IEC 27001及 ISO/IEC 27701国际标准认证,确认政府资讯科技总监办公室制定和实施全面的资讯安全及私隐资讯管理措施,以管理和保护用户的资讯与私隐,并采用综合的管理流程确保相关措施可持续符合认证的要求
系统安全标准及认证列表
- 政府资讯科技保安政策及指引
- 《个人资料(私隐)条例》
(香港法例第486章) - 线上快速身份认证
(Fast IDentity Online) - OAuth 2.0 授权协议
- 公开密码匙基础设施
(Public Key Infrastructure) - 资讯安全管理系统(ISMS)与私隐资讯管理系统(PIMS)
国际标准ISO/IEC 27001 及 ISO/IEC 27701
- 政府资讯科技总监办公室已制定和维持一套全面的资讯科技保安政策、标准、指引、程序及相关实务指引,当中包括:
- 《基准资讯科技保安政策》
- 《资讯科技保安指引》
- 《保安风险评估及审计实务指引》
- 《资讯保安事故处理实务指引》
- 这些程序和指引參考国际标准、业界良好作业模式和专业资源制定。政府资讯科技总监办公室亦不时检讨相关程序和指引,以应对新兴技术带来的安全威胁
- 在下述范畴严格遵循《个人资料(私隐)条例》和政府资讯科技保安政策及指引,包括:
- 数据存储
- 网络通讯
- 用户管控和应用系统的安全
- 保障个人资料的保安措施
- 政府资讯科技总监办公室已徵询个人资料私隐专员的意见,以及为系统进行独立第三方个人私隐影响评估及资讯科技保安审计,并落实有关资讯保安及私隐保障的要求。
- 平台采用线上快速身份认证通用认证框架(Fast IDentity Online Universal Authentication Framework, FIDO UAF)进行身份认证。该框架是一个认证规约,容许网上服务提供没有密码的多重认证。用户验证(用户生物特徵校验等)只在流动装置内执行,过程不会传递任何生物特徵资料到流动装置以外
- OAuth 2.0 授权协议是一种授权标准协议,用于跨平台的身份授权。它允许用户授权第三方应用程式存取他们储存在另一个服务中的资料,而无需将用户名称和密码提供给第三方应用程式。「智方便」系统参考了OAuth 2.0 授权协议作为「智方便」及「智方便+」用户、网上服务和「智方便」系统之间的认证及授权,确保系统安全可靠。
- 提供予用户的数码证书采用公开密码匙基础建设(Public Key Infrastructure,PKI),确保用户在安全可靠的环境进行网上电子交易。
- 此保安架构主要利用公开密码匙加密技术来保障资讯的保密性、完整性、真确性及不可否认性。
- 「智方便」服务获得ISO/IEC 27001及 ISO/IEC 27701国际标准认证,确认政府资讯科技总监办公室制定和实施全面的资讯安全及私隐资讯管理措施,以管理和保护用户的资讯与私隐,并采用综合的管理流程确保相关措施可持续符合认证的要求。
- 「智方便」系统的开发和营运均采用上述两项国际标准,包括订定和严格执行各人员存取资料的权限,以防止未经授权人士存取系统内的个人资料。