生产力局及私隐专员公署联合发表“香港企业网络保安准备指数及AI安全风险”调查报告

11月21日，香港生产力促进局（生产力局）及香港个人资料私隐专员公署（私隐专员公署）共同公布“香港企业网络保安准备指数及AI安全风险”调查报告结果，“香港企业网络保安准备指数”录得52.8点（最高100点），较去年上升5.8点，重回接近2022年水平，但仍然维持于“具基本措施”级别¹，可见企业仍然有很大的进步空间。中小企（48.4点）及大型企业（73.1点）的指数均录得升幅，分别上升4.8点及10.6点，大型企业的指数更升至有纪录以来最高。

生产力局数码转型部总经理陈仲文（右）及个人资料私隐专员钟丽玲（左）共同公布″香港企业网络保安准备指数及AI安全风险″调查报告结果。

香港企业网络保安准备指数

“香港企业网络保安准备指数”由“保安政策及风险评估”、“技术控制”、“流程控制”和“员工网络保安意识”四个范畴组成。在本年度，“流程控制”（70.9点）微升2.8点，继续在所有分项指数居首，属″具管理能力″级别；该分项指数也有上升趋势，由2018年的57.3点，升至本年的70.9点。同样地，“技术控制”（57.3点）也较去年微升2.2点，并由2018年的36.9点，即“措施不一致”级别，上升至57.3点，即“具基本措施”级别。“保安政策及风险评估”（52.1点）于今年大幅回升12.4点，重回“具基本措施”级别。另外，“员工网络保安意识”于今年上升5.7点至30.9点，惟该范畴自2018年仍然属“措施不一致”级别。调查发现，只有三分之一（35%）的受访企业有为员工进行网络安全意识培训，以及只有四分之一（24%）有进行演习以加强员工的网络安全意识；显示企业需在这两方面加强。

行业指数方面，金融服务业（68.3点）继续维持在″具管理能力″级别。不过，零售和旅游相关行业（45.3点，+12.0点）及专业服务业（46.0点，+2.5点）的指数虽有升幅，但仍然是所有行业中最低，且低于50点水平线。

调查显示，近七成（69%）的受访企业在过去12个月内曾遇到至少一类网络安全攻击，较去年稍微下跌四个百分点，但仍高于2022年的水平（65%）。数字的下降主要是由于受网络安全攻击的中小企百分比有所减少，较去年稍跌四个百分点。尽管如此，仍然有超过七成（71%）大型企业受网络安全攻击，与去年数字相若。其中，钓鱼攻击依然是最常见的网络安全攻击类型，98%的企业曾在今年遇过这类攻击，数字按年上升两个百分点。除网络钓鱼电子邮件（79%）及假冒其他机构的网络广告（42%）等常见的钓鱼攻击外，调查也发现网络钓鱼简讯（38%，+4百分点）较去年更为普遍。

生产力局数码转型部总经理陈仲文表示：″本年指数虽然录得回升，但仍只属基本水平。指数改善主要是由于较多企业在今年有进行网络安全风险评估，以及有邀请第三方机构评核IT系统。另外，‘员工网络保安意识‘仍有待加强，员工缺乏意识有可能成为企业网络安全其中一个最大的漏洞，企业应从多方面强化员工的网络安全意识，包括每年为所有员工进行网络安全意识培训，以更新员工对最新网络安全的知识；培训内容也需针对人员进行角色为基础培训。企业也需要定期进行钓鱼测试及网络安全演习，以监测及处理表现较弱的范畴。中小企在考虑提升网络安全级别时也要顾及其风险承担的程度，需要面对的风险越高，他们应该达到的网络安全水平就越高。另一方面，近七成的受访企业在过去12个月曾遇到至少一类网络安全攻击，当中超过九成表示受到网络钓鱼攻击，与去年数字相若。香港网络安全事故协调中心（HKCERT）的事故报告统计资料显示，今年1月至10月期间，HKCERT处理的安全事故总数已达10,020宗，已超越2023年的事故总数，创下历史新高；HKCERT也接获35,379个钓鱼网站的报告，较2023年同比增加了127%，钓鱼攻击的事故报告已占所有网络安全事故的62.22%²。除了提高员工的网络安全意识外，企业可参考HKCERT推出的‘中小企保安事故应变指南’，制定企业网络安全事故应变计划及定期进行安全审计，识别并修补可能存在的安全漏洞。″

生产力局数码转型部总经理陈仲文指出，本年度″香港企业网络保安准备指数″虽然录得回升，但仍只属基本水平。

人工智能（AI）安全与隐私风险调查

今年专题调查探讨受访企业在使用AI方面的情况及所采取的安全风险措施。调查结果发现，近七成企业（69%）认为在运营中使用AI会带来显著的隐私风险。整体来说，约五分之一的企业（21%）现时有在运营中使用AI，而大型企业的使用率则较高，超过四成（43%）。

在运营中使用AI的企业中，约三分之二（65%）有采用至少一项数据安全防护措施，而大型企业的占比更接近八成（79%），显示大型企业比中小企更着重数据安全防护，以确保公司使用AI工具的数据安全。较多企业采用的数据安全防护措施是″存取控制″（41%）及数据保护措施（例如加密数据、将个人资料匿名化）（39%）。不过，较少企业会使用专门针对机器学习攻击的保护措施（14%）或留意与AI相关的安全警报（13%）。

另外，四分之三（75%）在运营中使用AI的企业皆表示使用AI时不会向第三方提供数据，当中，会向第三方提供数据的企业大部分只提供一些公开的数据（14%）及匿名化和聚合数据（8%），显示企业在处理数据方面持谨慎态度。就企业遇到个人资料外泄事故的应变计划方面，虽然有超过六成（61%）在运营中有使用AI的企业有制定针对资料外泄事故的应变计划，但只有少于两成（16%）包含应对AI相关的事故。

调查也发现，大型企业较中小企更积极提供AI相关的培训及制定关于AI安全风险的政策。在运营中使用AI的企业中，有超过八成（82%）大型企业现时有或计划为员工提供有关AI的培训，而有超过七成（74%）大型企业已制定或计划制定关于AI安全风险的政策，但中小企分别只占一半左右（52%及45%）。另一方面，只有少于两成（17%）的受访中小企表示计划在未来12个月内增加使用AI技术以加强数据和网络安全；然而，超过四成大型企业（46%）有相关计划。

个人资料私隐专员钟丽玲表示：″私隐专员公署一直积极推动保障数据安全的工作，今年的’香港企业网络保安准备指数’较去年上升5.8点，当中大型企业的指数更升至有纪录以来最高。而人工智能安全是国家安全的重点领域之一，随着AI应用日渐普及，AI的隐私风险及数据安全不容忽视，企业不论规模大小，均有责任在善用AI之余，采用数据安全防护措施保障个人资料隐私。私隐专员公署鼓励企业参考公署出版的《人工智能（AI）：个人资料保障模范框架》，以确保企业采购、实施及使用AI时，遵从《个人资料（私隐）条例》的相关规定，加强保障数据安全。″

个人资料私隐专员钟丽玲介绍人工智能（AI）安全与私隐风险调查的结果。

调查由私隐专员公署委托生产力局独立进行，旨在评估香港企业在应对网络安全威胁及AI安全风险方面是否准备就绪，以及公众对隐私相关议题的意见。最新的调查在2024年9月至10月通过电话访问442间企业，涵盖六个行业³。

生产力局与私隐专员公署共同推出″中小企数据安全培训系列″

为协助中小企加强保障数据安全，生产力局及私隐专员公署将于2025年联合推出数据安全培训系列，主题包括：（i）近年资料外泄个案分享；（ii）资料安全措施建议；及（iii）如何预防及处理资料外泄事故。

私隐专员公署推出″数据安全″套餐

为协助学校、非牟利机构及中小企加强保障数据安全、网络安全，私隐专员公署已推出″数据安全″套餐，参加″数据安全″套餐的机构可免费进行″数据安全快测″，评估其数据安全措施是否足够，并在完成″快测″后享有五个免费名额参加由公署举办的研习班及讲座。此外，公署也已推出″数据安全″专题网页及″数据安全″热线2110 1155，提供相关资讯及协助。有意参加的学校、非牟利机构及中小企可电邮至training@pcpd.org.hk查询。

生产力局推出″网络钓鱼防御服务″

生产力局持续加强对中小企的多元化服务及支持，提升中小企业网络安全意识及防范能力。为进一步加强员工网络安全意识，并协助他们了解网络钓鱼攻击的不同形式及技巧，生产力局推出″网络钓鱼防御服务″。服务除了包括为企业设计网络钓鱼题材/场景，及进行网络钓鱼演练外，也会就演习结果进行分析并提供建议及培训。服务模拟最新钓鱼攻击进行演练，让企业更清楚了解钓鱼攻击的最新发展及攻击技巧。

浏览生产力局″网络钓鱼防御服务″的服务详情：https://www.hkpc.org/zh-CN/our-services/digital-transformation/cyber-security/phishing-defence-services

注释：

1. 指数级别分为五级，排名由高至低依次为″具前瞻能力″（80-100）、″具管理能力″（60-79）、″具基本措施″（40-59）、″措施不一致″（20-39）及″缺乏意识″（0-19）

2. 资料来源：HKCERT

3. 调查所涵盖的六个行业包括″零售和旅游相关″、″制造、贸易和物流″、″非牟利机构、学校和其他″、″金融服务″、″专业服务″及″资讯和通讯技术″