香港關鍵基礎設施條例快落實 Fortinet減低營運者威脅風險

自動化網絡保安服務方案供應商Fortinet分享了香港即將實施的《保護關鍵基礎設施 (電腦系統) 條例草案》監管要求和見解。Fortinet北亞區資訊安全總監鄺偉基認為企業可主動採取措施，加強企業的網絡安全態勢。該條例列出了關鍵基礎設施營運者的法定責任，包括設立安全管理單位、提升事故應變能力、強化網絡安全框架以及進行定期安全審核等。

針對《保護關鍵基礎設施 (電腦系統) 條例草案》的推行，Fortinet北亞區資訊安全總監鄺偉基認為舊式網絡安全防禦未能有效保護。加上條例仍有一些灰色地帶，需要進一步跟進及解釋。而Fortinet解決方案可以提供全面支援，協助企業遵從相關法定要求，同時提升其整體網絡安全韌性。

以下是Fortinet能向企業提供之協助的概要：

• 設立安全管理單位：條例要求關鍵基礎設施營運者設立專責單位負責監督安全管理。Fortinet Security Fabric安全織網平台提供集中的可視性及先進的數據分析，讓企業能有效地監測威脅、執行相關措施和維持合規性。FortiManager和FortiAnalyzer等解決方案亦能為這些安全管理單位提供實時洞察和切實可行的報告。

• 識別關鍵資產及提交資訊：企業必須識別和保護關鍵系統，並向監管機構提供詳細的配置資訊。Fortinet的解決方案，例如整合了FortiSwitch和FortiGuard Labs服務的FortiGate，能提升對營運技術（OT）及IT環境的可視性及控制能力。FortiSIEM則進一步簡化了實體及虛擬基礎架構中關鍵資產的識別及監控過程，確保企業能迅速回應監管機構的資訊要求。

• 提升事故應對能力：企業須制定緊急應變方案並定期進行安全演習，以減輕並有效地應對威脅。FortiDeceptor能在威脅造成重大損害前偵測並將其隔離，而 FortiSOAR 則能透過自動化應對工作流程，簡化事件處理並生成詳細的報告以提交予監管機構。FortiGuard Labs亦提供度身定制的事件準備及應對服務。

• 強化網絡安全框架：企業須實施有力的網絡安全措施，以防止未經授權的存取並減輕風險。Fortinet的人工智能驅動解決方案，包括FortiEDR及FortiNDR，提供先進的威脅偵測及應對能力。這些工具利用遙測及分析技術來識別漏洞並降低實時風險，確保企業符合該條例嚴格的安全要求。

• 進行定期安全審核： 關鍵基礎設施營運者必須透過定期審核來評估安全措施的成效。Fortinet一系列評估工具，如FortiPentest、FortiDAST和FortiTester，能幫助企業識別應用程式、網絡和系統中的漏洞。這些工具提供可行的建議，協助企業持續地改善安全態勢，並在審核過程中證明其合規性。

• 培訓員工和承辦商：在新條例下，對人員進行全面的培訓至關重要。Fortinet的安全意識和培訓服務（SAT）提供符合國際標準、互動性強且與時並進的培訓課程，同時借助 FortiGuard Labs 的威脅情報，使員工和承辦商具備有效識別及降低風險的知識。

Fortinet香港、澳門及蒙古區總經理馮家健指出，在香港的關鍵基礎設施營運者應對新法例的複雜性時，Fortinet能以其全面的網絡安全解決方案提供强大的支援。透過整合可視性、控制和先進的威脅防護功能，Fortinet助力企業：

• 滿足監管要求。
• 提高營運韌性。
• 保護關鍵資產免受不斷變化的網絡型態所威脅。