醫院管理局持續鞏固員工網安意識 榮獲「共建員工防火牆」鑽石級別嘉許 「貼地」舉措以人為本 上下一心構建牢固防線

在網絡攻擊頻繁的今天，員工每天的謹慎行為頓成企業網絡安全的首要防線。醫院管理局（醫管局）積極參與由香港互聯網註冊管理有限公司（HKIRC）與國際信息系統審計協會中國香港分會合辦的「共建員工防火牆」嘉許計劃。繼去年獲得白金級嘉許後，今年更進一步榮獲鑽石級嘉許。這一殊榮不僅肯定了醫管局在網絡安全方面的努力，更體現資訊保安團隊在員工安全意識培育上的深耕細作。醫管局資訊保安主管馬振宇及資訊科技及醫療信息部經理李翠兒分享了參與計劃的初衷、實踐措施及寶貴經驗，為企業加強網絡安全防護提供重要借鑒。 

HKIRC行政總裁黃家偉表示：「網絡安全不再只是技術問題，而是企業文化的一部分。員工是第一道防線，若缺乏警覺性，任何系統都難以保障安全。我們希望透過嘉許計劃，推動跨行業合作，提供免費資源及認可評級，協助企業建立完善培訓，減少網絡攻擊風險，讓香港整體網絡安全水平再提升。」

醫院管理局資訊保安主管馬振宇強調，醫管局參與該計劃的核心初衷源於對網絡安全本質的深刻理解。「網絡安全絕非單純的技術問題，絕大部分數據漏洞及安全事故往往源於人為因素。員工每日處理大量信息、郵件與系統操作，其安全判斷直接影響企業網絡防線的穩固。因此，嘉許計劃及其網絡安全員工培訓平台，正好提供清晰指引與多元資源，協助企業全面提升員工安全意識，構建『員工防火牆』，成為醫管局保障資訊安全的重要策略。」
 

善用人性化舉措 建立穩健安全架構

為推動員工安全意識提升，醫管局制定多層次的實施策略。馬先生指出，常見的四大資安風險因素:急躁、恐懼、貪婪與好奇心，皆源於「人」的行為，因此醫管局構建「員工防火牆」時，特別強調「以人為本」並注重人性化設計。「首先，為因應員工尤其是前線同事的不同工作時段與繁忙程度，我們積極多樣化宣傳與培訓形式，透過定期舉辦網絡安全週、釣魚電郵演習及線上課程等活動，並採用遊戲化、場景化方式強化員工認知。其中，釣魚電郵演習成效尤為顯著，顯著提升員工辨識可疑資訊的能力。此外，團隊持續完善制度保障，建立並定期更新網絡安全政策與架構，為員工日常工作提供清晰指引，確保各項措施符合標準。在日常實踐層面，企業亦推動「培訓與工作融合」，將安全培訓嵌入工作流程，並透過內聯網持續推送宣傳海報、1分鐘短片等易於理解的資訊保安內容，幫助員工加深記憶，令培訓成效事半功倍。」

員工眾多及多元背景 提升參與度為首要目標

醫管局現有9萬多名全職員工，資訊保安團隊面臨員工背景多元、語言水平差異及電腦操作能力不一等多重挑戰。資訊科技及醫療信息部經理李翠兒表示，團隊透過多項舉措破解困局：「我們舉辦網絡安全研討會, 以真實案例剖析安全事件對機構與個人的雙重影響，幫助員工扭轉認知偏差；其次，發揮管理層示範作用，由管理層親身參與活動，帶動全員積極性，顯著提升參與度，推動『員工防火牆』建設。」

李小姐坦言，對未能通過釣魚電郵測試的員工，團隊會逐一跟進，詳細解析「中伏」原因並提供針對性輔導。「工作坊形式的培訓，比傳統自上而下的教學模式更具成效，能切實幫助員工理解網絡安全的重要性及實踐方法。考慮到醫管局員工背景多元，宣傳與培訓採用通俗易懂的語言，搭配圖像化表達方式，並以中文為主、英文為輔的雙語模式，確保信息傳遞全面覆蓋。」

一系列舉措的成效，從員工的主動性與參與度可見一斑。「隨著網絡安全文化逐步建立，我們觀察到員工不僅主動參與培訓，更積極提出宣傳語優化建議、舉報風險，形成全員共建的良好局面。」

建議企業勇敢起步 將安全意識融入企業文化

對於有意參與「共建員工防火牆」嘉許計劃的企業，馬先生與李小姐分享經驗並提出建議：「第一，要勇敢起步，毋須過度擔心教材或資源不足，可充分利用HKIRC提供的培訓素材與演練資源；第二，保持耐心，網絡安全文化的培養非一日之功，需給予時間讓不同背景的員工逐步理解並接納；第三，靈活施策，建議結合企業運作模式及員工特質調整安全策略，確保措施廣泛適用；第四，全員參與，上下一心，凝聚管理層與員工共同投入，提升員工對網絡安全的重視程度。」

馬先生補充，截至目前，醫管局幸運地未曾發生重大網絡安全事故。「在數字化運作滲透企業各層面的今天，網絡安全已不再是單一部門的責任，而是需要全員參與的系統工程。唯有將安全意識深植企業文化，才能構建真正堅不可摧的防線。」
 

HKIRC全力推動「共建員工防火牆」

網絡安全並非一蹴而就，而是一個持續改進的過程，需要企業長期投入並凝聚全員力量。即使企業暫時未能完全符合「員工防火牆」嘉許計劃的所有要求，仍建議先行參與，因為這不僅是一項認可，更是一個學習與交流的平台。透過參與計劃，企業能夠借鑒獲獎機構的最佳實踐，掌握最新防禦策略，並逐步建立專屬的網絡安全文化。隨著網絡攻擊手法日益複雜，企業必須採取主動，將網絡安全視為長期策略，而非一次性行動。「員工防火牆」的核心理念，是讓每位員工肩負責任，成為企業安全的第一道防線，而不僅依賴IT部門或技術系統。透過持續培訓與文化推廣，企業能夠全面提升防禦能力，降低風險。

HKIRC行政總裁黃家偉表示，近年中小企普遍缺乏網絡安全資源，HKIRC因此積極推出免費服務，例如網站安全檢測及員工培訓平台，並持續擴展網絡安全計劃，為不同類型企業提供多元支援，包括：提供技術建議的「檢測與預防」措施、強化非技術員工的「安全意識」文化，以及透過「教育與發展」培養下一代網絡安全人才。同時，HKIRC與業界重要持份者緊密合作，擴大計劃覆蓋範圍，讓更多企業受惠，全面提升香港整體網絡安全水平。

「共建員工防火牆」嘉許計劃2025/26評審要求

1. 網絡安全培訓
2. 員工參與釣魚演習
3. 建立穩健的網絡安全政策架構
4. 為網絡安全問題建立明確的報告途徑
5. 通過積極資訊共享來促進網絡安全意識
6. 年度網絡安全風險評估要求

如欲了解更多嘉許計劃詳情及得獎名單，請參閱官方網站：https://cyberhub.hk/tc/recognition-scheme
 

關於香港互聯網註冊管理有限公司

香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司，專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk，及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港，和將會在香港推出其他相關域名的服務。