書面質詢
近月廉政公署公布,一名教育及青年發展局職員,暗中伙同妻子操控某青年社團,並涉嫌透過虛報活動人數及活動內容,詐騙教青局活動資助款項合共超過五十萬元。
廉署調查發現,嫌疑人不單偽造單據詐取活動資助,更多次在申請期截止後,登入資助申請系統輸入資料,製作建議書建議上級批准相關申請,令有關個案最終成功獲批;此外,在得悉局方對涉案青年社團的資助申請個案內部複查後,嫌疑人更秘密在局方伺服器內竊取內部審查文件,並發放予涉案社團成員,以應對查問。[1]其罔顧公帑資助批給指引及迴避機制,利用職務之便,存心詐取公帑,涉案的受資助個案涉及本地和外地十多個活動,情節嚴重;案件曝光後,社會不免對相關政府部門的資訊安全及監察機制存疑。
本澳《網絡安全法》於一九年頒布實施,當中第三章高度概括了公共和私人關鍵基礎設施營運者的義務,要求制定和採用網絡安全管理制度和操作程序,以及安全事件監測和響應的內部措施,否則會被科最高五百萬澳門元的罰款,並連帶其它附加處罰。
因此,本人提出以下質詢:
按《網絡安全法》,所有公共部門均應做好網絡安全管理制度和操作程序,請問當局,是否已按法律規定,設立相關保安機制以堵塞網絡安全漏洞?目前有關網絡安全的執行情況狀況如何?是否有派專門人員負責資訊安全管理?
2. 政府部門的內聯網中不乏敏感資訊及數據,當局是否有設置網關(即網間連接器)、防火牆或分級存取及閱覽權限,以建立有效的安全系統?同時,是否有為員工提供網絡使用的培訓,讓員工熟知內聯網的使用及存取權限?
3. 目前修改《維護國家安全法》正進行公開諮詢,有與會者亦關注資訊安全是否有相關的監管及約束配套,避免有心人士,甚至駭客鑽資訊安全漏洞,盜取有利資訊,另有所圖。請問當局,有關國家安全的敏感資訊,現時是否有設置相關網絡安全的防範措施,包括:設置網絡分級機制,限制人員閱覽及存取權限?將有何措施以完善監管,以強化資訊安全軟硬體環境建置?另外,是否有為一般員工及系統管理人員進行定期培訓,以宣導更新資訊安全認知,提升主管層資訊安全管理能力?又是否已制定網路安全事件應急預案?會否視需要建立制衡機制,分散相關人員責任,以防因人為疏忽或故意,導致資訊遭竄改、不法或不當使用?
[1] 2022年8月24日 澳門電台 廉署揭發教青局職員涉嫌操控社團詐騙活動資助
https://www.tdm.com.mo/zh-hant/news-detail/736192?isvideo=false&lang=zh&category=all
2022.08.31書面質詢(有關資訊安全)書面回覆.pdf