2024 年「香港企業網絡保安準備指數」回升 5.8 點至接近前年水平 「員工網絡保安意識」仍停留較低級別

（香港，2024 年 11 月 21 日）香港生產力促進局（生產力局）及香港個人資料私隱專員公署（私隱專員公署）今日共同公布「香港企業網絡保安準備指數及 AI 安全風險」調查報告結果，「香港企業網絡保安準備指數」錄得 52.8 點（最高 100 點），較去年上升 5.8 點，重回接近 2022 年水平，但仍然維持於「具基本措施」級別 ¹，可見企業仍然有很大的進步空間。中小企（48.4 點）及大型企業（73.1 點）的指數均錄得升幅，分別上升 4.8 點及 10.6 點，大型企業的指數更升至有紀錄以來最高。

香港企業網絡保安準備指數

「香港企業網絡保安準備指數」由「保安政策及風險評估」、「技術控制」、「流程控制」和「員工網絡保安意識」四個範疇組成。於本年度，「流程控制」（70.9 點）微升 2.8 點，繼續於所有分項指數居首，屬「具管理能力」級別；該分項指數亦有上升趨勢，由 2018 年的 57.3 點，升至本年的 70.9 點。同樣地，「技術控制」（57.3 點）亦較去年微升 2.2 點，並由2018 年的 36.9 點，即「措施不一致」級別，上升至 57.3 點，即「具基本措施」級別。「保安政策及風險評估」（52.1 點）於今年大幅回升 12.4 點，重回「具基本措施」級別。另外，「員工網絡保安意識」於今年上升 5.7 點至 30.9 點，惟該範疇自 2018 年仍然屬「措施不一致」級別。調查發現，只有三分之一（35%）的受訪企業有為員工進行網絡安全意識培訓，以及只有四分之一（24%）有進行演習以加強員工的網絡安全意識；顯示企業需於這兩方面加強。

行業指數方面，金融服務業（68.3 點）繼續維持在「具管理能力」級別。不過，零售和旅遊相關行業（45.3 點，+12.0 點）及專業服務業（46.0 點，+2.5 點）的指數雖有升幅，但仍然是所有行業中最低，且低於 50 點水平線。

調查顯示，近七成（69%）的受訪企業在過去 12 個月內曾遇到至少一類網絡安全攻擊，較去年稍微下跌四個百分點，但仍高於 2022 年的水平（65%）。數字的下降主要是由於受網絡安全攻擊的中小企百分比有所減少，較去年稍跌四個百分點。儘管如此，仍然有超過七成（71%）大型企業受網絡安全攻擊，與去年數字相若。其中，釣魚攻擊依然是最常見的網絡安全攻擊類型，98%的企業曾在今年遇過這類攻擊，數字按年上升兩個百分點。除網絡釣魚電子郵件（79%）及假冒其他機構的網絡廣告（42%）等常見的釣魚攻擊外，調查亦發現網絡釣魚簡訊（38%，+4 百分點）較去年更為普遍。

生產力局數碼轉型部總經理陳仲文表示：「本年指數雖然錄得回升，但仍只屬基本水平。指數改善主要是由於較多企業於今年有進行網絡安全風險評估，以及有邀請第三方機構評核 IT 系統。另外，『員工網絡保安意識』仍有待加強，員工缺乏意識有可能成為企業網絡安全其中一個最大的漏洞，企業應從多方面強化員工的網絡安全意識，包括每年為所有員工進行網絡安全意識培訓，以更新員工對最新網絡安全的知識；培訓內容亦需針對人員進行角色為基礎培訓。企業亦需要定期進行釣魚測試及網絡安全演習，以監測及處理表現較弱的範疇。中小企於考慮提升網絡安全級別時亦要顧及其風險承擔的程度，需要面對的風險越高，他們應該達到的網絡安全水平就越高。另一方面，近七成的受訪企業在過去 12 個月曾遇到至少一類網絡安全攻擊，當中超過九成表示受到網絡釣魚攻擊，與去年數字相若。香港網絡安全事故協調中心（HKCERT）的事故報告統計資料顯示，今年 1 月至 10 月期間，HKCERT 處理的保安事故總數已達 10,020 宗，已超越 2023 年的事故總數，創下歷史新高；HKCERT 亦接獲 35,379 個釣魚網站的報告，較 2023 年同比增加了 127%，釣魚攻擊的事故報告已佔所有網絡安全事故的 62.22%²。除了提高員工的網絡安全意識外，企業可參考 HKCERT 推出的『中小企保安事故應變指南』，制定企業網絡安全事故應變計劃及定期進行安全審計，識別並修補可能存在的安全漏洞。」

人工智能（AI）安全與私隱風險調查

今年專題調查探討受訪企業在使用 AI 方面的情況及所採取的安全風險措施。調查結果發現，近七成企業（69%）認為在營運中使用 AI 會帶來顯著的私隱風險。整體來說，約五分之一的

企業（21%）現時有於營運中使用 AI，而大型企業的使用率則較高，超過四成（43%）。

於營運中使用 AI 的企業中，約三分之二（65%）有採用至少一項數據安全防護措施，而大型企業的佔比更接近八成（79%），顯示大型企業比中小企更著重數據安全防護，以確保公司使用 AI 工具的數據安全。較多企業採用的數據安全防護措施是「存取控制」（41%）及數據保護措施（例如加密數據、將個人資料匿名化）（39%）。不過，較少企業會使用專門針對機器學習攻擊的保護措施（14%）或留意與 AI 相關的安全警報（13%）。

另外，四分之三（75%）在營運中使用 AI 的企業皆表示使用 AI 時不會向第三方提供數據，當中，會向第三方提供數據的企業大部分只提供一些公開的數據（14%）及匿名化和聚合數據（8%），顯示企業在處理數據方面持謹慎態度。就企業遇到個人資料外洩事故的應變計劃方面，雖然有超過六成（61%）於營運中有使用 AI 的企業有制定針對資料外洩事故的應變計劃，但只有少於兩成（16%）包含應對 AI 相關的事故。

調查亦發現，大型企業較中小企更積極提供 AI 相關的培訓及制定關於 AI 安全風險的政策。在營運中使用 AI 的企業中，有超過八成（82%）大型企業現時有或計劃為員工提供有關 AI 的培訓，而有超過七成（74%）大型企業已制定或計劃制定關於 AI 安全風險的政策，但中小企分別只佔一半左右（52%及 45%）。另一方面，只有少於兩成（17%）的受訪中小企表示計劃在未來 12 個月內增加使用 AI 技術以加強數據和網絡安全；然而，超過四成大型企業

（46%）有相關計劃。

個人資料私隱專員鍾麗玲表示：「私隱專員公署一直積極推動保障數據安全的工作，今年的『香港企業網絡保安準備指數』較去年上升 5.8 點，當中大型企業的指數更升至有紀錄以來最高。而人工智能安全是國家安全的重點領域之一，隨著 AI 應用日漸普及，AI 的私隱風險及數據安全不容忽視，企業不論規模大小，均有責任於善用 AI 之餘，採用數據安全防護措施保障個人資料私隱。私隱專員公署鼓勵企業參考公署出版的《人工智能（AI）：個人資料保障模範框架》，以確保企業採購、實施及使用 AI 時，遵從《個人資料（私隱）條例》的相關規定，加強保障數據安全。」

調查由私隱專員公署委託生產力局獨立進行，旨在評估香港企業在應對網絡保安威脅及 AI 安全風險方面是否準備就緒，以及公眾對私隱相關議題的意見。最新的調查在 2024 年 9 月至

10 月透過電話訪問 442 間企業，涵蓋六個行業 ³。

 請按此下 載「香港企業網絡保安準備指數及 AI 安全風險調查 2024」調查報告。

生產力局與私隱專員公署共同推出「中小企數據安全培訓系列」 

為協助中小企加強保障數據安全，生產力局及私隱專員公署將於 2025 年聯合推出數據安全培訓系列，主題包括：（i）近年資料外洩個案分享；（ii）資料保安措施建議；及（iii）如何預防及處理資料外洩事故。

私隱專員公署推出「數據安全」套餐

為協助學校、非牟利機構及中小企加強保障數據安全、網絡安全，私隱專員公署已推出「數據安全」套餐，參加「數據安全」套餐的機構可免費進行「數據安全快測」，評估其數據安全措施是否足夠，並在完成「快測」後享有五個免費名額參加由公署舉辦的研習班及講座。此外，公署亦已推出「數據安全」專題網頁及「數據安全」熱線 2110 1155，提供相關資訊及協助。有意參加的學校、非牟利機構及中小企可電郵至 [email protected] 查詢。 

生產力局推出「網絡釣魚防禦服務」

生產力局持續加強對中小企的多元化服務及支援，提升中小企業網絡安全意識及防範能力。為進一步加強員工網絡安全意識，並協助他們了解網絡釣魚攻擊的不同形式及技巧，生產力局推出「網絡釣魚防禦服務」。服務除了包括為企業設計網絡釣魚題材／場景，及進行網絡釣魚演練外，亦會就演習結果進行分析並提供建議及培訓。服務模擬最新釣魚攻擊進行演練，讓企業更清楚了解釣魚攻擊的最新發展及攻擊技巧。

瀏覽生產力局 「網絡釣魚防禦服務」的服務詳情：

https://www.hkpc.org/zh-HK/our-services/digital-transformation/cyber-security/phishing-defence-services

- 完 -

¹ 指數級別分為五級，排名由高至低依次為「具前瞻能力」（80-100）、「具管理能力」（60-

79）、「具基本措施」（40-59）、「措施不一致」（20-39）及「缺乏意識」（0-19）

² 資料來源：HKCERT

³ 調查所涵蓋的六個行業包括「零售和旅遊相關」、「製造、貿易和物流」、「非牟利機構、學校和其他」、「金融服務」、「專業服務」及「資訊和通訊技術」

相片說明：