政府下周將向立法會提交《保護關鍵基礎設施(電腦系統)條例草案》,《明報》今報道,在《實務守則》中新加入營運者「在採購時考慮國家安全風險和制裁風險」。保安局回覆查詢時說,與電腦系統安全相關風險涵蓋不同範疇,國家安全風險和制裁風險是眾多電腦系統安全需要考慮的風險之一。
保安局指出,關鍵基礎設施的營運者在訂定電腦系統安全管理計劃時,須進行全面的風險評估,並就所識別的風險採取適當的緩解措施。被問及政策原意及實際上是否鼓勵營運商避免向外國採購,局方無正面回應。
對比10月局方提交立法會的文件,當時建議的《實務守則》並無提及國安及制裁風險。被問及過去諮詢及簡介有否提及採購的國安及制裁風險,保安局僅說,在業界持分者諮詢會中有討論《實務守則》的內容,包括與電腦系統安全相關的風險。