私隱及資訊保障
在開發「智方便」平台過程中,政府資訊科技總監辦公室一直嚴格遵循政府資訊科技保安政策及指引和《個人資料(私隱)條例》的規定
詳細說明
- 承辦商管理:
- 承辦商進行系統開發和維護工作時,只會使用測試數據,並只能在開發及測試的系統環境中工作,因此不會接觸到任何市民的個人資料
- 政府資訊科技總監辦公室亦會為需要存取個人資料的相關人員訂立權限,並有適切的監察措施
- 系統管理:
- 政府資訊科技總監辦公室會確保「智方便」系統的核心數據(包括用戶的個人資料)以國際認可和通行的高級加密標準加密和儲存於政府數據中心
- 資料傳輸時會根據符合業界加密標準的傳輸層安全協議為資料加密,確保數據安全和完整地在互聯網上傳送
- 私隱保障及保安認證:
- 市民通過個人流動電話或自助登記站登記時拍攝的身份證相片及個人照,在用作核實身份後會被即時刪除
- 登記時提供的其他個人資料只會作「智方便」及「智方便+」用戶管理之用,用戶資料會加密,並儲存於政府數據中心
- 「智方便」服務獲得ISO/IEC 27001及 ISO/IEC 27701國際標準認證,確認政府資訊科技總監辦公室制定和實施全面的資訊安全及私隱資訊管理措施,以管理和保護用戶的資訊與私隱,並採用綜合的管理流程確保相關措施可持續符合認證的要求
系統安全標準及認證列表
- 政府資訊科技保安政策及指引
- 《個人資料(私隱)條例》
(香港法例第486章) - 線上快速身份認證
(Fast IDentity Online) - OAuth 2.0 授權協議
- 公開密碼匙基礎設施
(Public Key Infrastructure) - 資訊安全管理系統(ISMS)與私隱資訊管理系統(PIMS)
國際標準ISO/IEC 27001 及 ISO/IEC 27701
- 政府資訊科技總監辦公室已制定和維持一套全面的資訊科技保安政策、標準、指引、程序及相關實務指引,當中包括:
- 《基準資訊科技保安政策》
- 《資訊科技保安指引》
- 《保安風險評估及審計實務指引》
- 《資訊保安事故處理實務指引》
- 這些程序和指引參考國際標準、業界良好作業模式和專業資源制定。政府資訊科技總監辦公室亦不時檢討相關程序和指引,以應對新興技術帶來的安全威脅
- 在下述範疇嚴格遵循《個人資料(私隱)條例》和政府資訊科技保安政策及指引,包括:
- 數據存儲
- 網絡通訊
- 用戶管控和應用系統的安全
- 保障個人資料的保安措施
- 政府資訊科技總監辦公室已徵詢個人資料私隱專員的意見,以及為系統進行獨立第三方個人私隱影響評估及資訊科技保安審計,並落實有關資訊保安及私隱保障的要求。
- 平台採用線上快速身份認證通用認證框架(Fast IDentity Online Universal Authentication Framework, FIDO UAF)進行身份認證。該框架是一個認證規約,容許網上服務提供沒有密碼的多重認證。用戶驗證(用戶生物特徵校驗等)只在流動裝置內執行,過程不會傳遞任何生物特徵資料到流動裝置以外
- OAuth 2.0 授權協議是一種授權標準協議,用於跨平台的身份授權。它允許用戶授權第三方應用程式存取他們儲存在另一個服務中的資料,而無需將用戶名稱和密碼提供給第三方應用程式。「智方便」系統參考了OAuth 2.0 授權協議作為「智方便」及「智方便+」用戶、網上服務和「智方便」系統之間的認證及授權,確保系統安全可靠。
- 提供予用戶的數碼證書採用公開密碼匙基礎建設(Public Key Infrastructure,PKI),確保用戶在安全可靠的環境進行網上電子交易。
- 此保安架構主要利用公開密碼匙加密技術來保障資訊的保密性、完整性、真確性及不可否認性。
- 「智方便」服務獲得ISO/IEC 27001及 ISO/IEC 27701國際標準認證,確認政府資訊科技總監辦公室制定和實施全面的資訊安全及私隱資訊管理措施,以管理和保護用戶的資訊與私隱,並採用綜合的管理流程確保相關措施可持續符合認證的要求。
- 「智方便」系統的開發和營運均採用上述兩項國際標準,包括訂定和嚴格執行各人員存取資料的權限,以防止未經授權人士存取系統內的個人資料。