私隱及資訊保障
私隱保障及資訊保安
詳細說明
- 承辦商管理:
- 承辦商進行系統開發和維護工作時,只會使用測試數據,並只能在開發及測試的系統環境中工作,因此不會接觸到任何市民的個人資料
- 政府資訊科技總監辦公室亦會為需要存取個人資料的相關人員訂立權限,並有適切的監察措施
- 系統管理:
- 政府資訊科技總監辦公室會確保「智方便」系統的核心數據(包括用戶的個人資料)以國際認可和通行的高級加密標準加密和儲存於政府數據中心
- 資料傳輸時會根據符合業界加密標準的傳輸層安全協議為資料加密,確保數據安全和完整地在互聯網上傳送
- 私隱保障及保安認證:
- 市民通過個人流動電話或自助登記站登記時拍攝的身份證相片及個人照,在用作核實身份後會被即時刪除
- 登記時提供的其他個人資料只會作「智方便」及「智方便+」用戶管理之用,用戶資料會加密,並儲存於政府數據中心
- 政府資訊科技總監辦公室會按國際標準 ISO 27001及 ISO 27701管理和保護用戶資訊與私隱
系統安全標準及認證列表
- 政府資訊
科技保安
政策及指引 - 《個人資料
(私隱)條例》
(香港法例第486章) - 線上快速
身份認證
(Fast IDentity
Online) - OAuth 2.0
授權協議 - 公開密碼匙
基礎設施
(Public Key
Infrastructure) - 資訊保安與
私隱管理國際標準
ISO 27001及
ISO 27701
- 政府資訊科技總監辦公室已制定和維持一套全面的資訊科技保安政策、標準、指引、程序及相關實務指引,當中包括:
- 《基準資訊科技保安政策》
- 《資訊科技保安指引》
- 《保安風險評估及審計實務指引》
- 《資訊保安事故處理實務指引》
- 這些程序和指引參考國際標準、業界良好作業模式和專業資源制定。政府資訊科技總監辦公室亦不時檢討相關程序和指引,以應對新興技術帶來的安全威脅
- 在下述範疇嚴格遵循《個人資料(私隱)條例》和政府資訊科技保安政策及指引,包括:
- 數據存儲
- 網絡通訊
- 用戶管控和應用系統的安全
- 保障個人資料的保安措施
- 政府資訊科技總監辦公室已徵詢個人資料私隱專員的意見,以及為系統進行獨立第三方個人私隱影響評估及資訊科技保安審計,並落實有關資訊保安及私隱保障的要求。
- 平台採用線上快速身份認證通用認證框架(Fast IDentity Online Universal Authentication Framework, FIDO UAF)進行身份認證。該框架是一個認證規約,容許網上服務提供沒有密碼的多重認證。用戶驗證(用戶生物特徵校驗等)只在流動裝置內執行,過程不會傳遞任何生物特徵資料到流動裝置以外
- OAuth 2.0 授權協議是一種授權標準協議,用於跨平台的身份授權。它允許用戶授權第三方應用程式存取他們儲存在另一個服務中的資料,而無需將用戶名稱和密碼提供給第三方應用程式。「智方便」系統參考了OAuth 2.0 授權協議作為「智方便」及「智方便+」用戶、網上服務和「智方便」系統之間的認證及授權,確保系統安全可靠。
- 提供予用戶的數碼證書採用公開密碼匙基礎建設(Public Key Infrastructure,PKI),確保用戶在安全可靠的環境進行網上電子交易。
- 此保安架構主要利用公開密碼匙加密技術來保障資訊的保密性、完整性、真確性及不可否認性。
- 政府資訊科技總監辦公室會按國際標準 ISO 27001及 ISO 27701管理和保護用戶資訊與私隱,並會在平台推出後按以上標準進行認證工作。
- 系統的開發和營運均採用國際標準化組織(ISO)及國際電工委員會(IEC)訂立的資訊保安管理系統(ISO 27001)及措施,包括訂定和嚴格執行各人員存取資料的權限,防止未經許可人士存取系統內的個人資料