医院管理局持续巩固员工网安意识 荣获「共建员工防火墙」钻石级别嘉许 「贴地」举措以人为本 上下一心构建牢固防线

在网络攻击频繁的今天，员工每天的谨慎行为顿成企业网络安全的首要防线。医院管理局（医管局）积极参与由香港互联网注册管理有限公司（HKIRC）与国际信息系统审计协会中国香港分会合办的「共建员工防火墙」嘉许计划。继去年获得白金级嘉许后，今年更进一步荣获钻石级嘉许。这一殊荣不仅肯定了医管局在网络安全方面的努力，更体现资讯保安团队在员工安全意识培育上的深耕细作。医管局资讯保安主管马振宇及资讯科技及医疗信息部经理李翠儿分享了参与计划的初衷、实践措施及宝贵经验，为企业加强网络安全防护提供重要借鉴。 

HKIRC行政总裁黄家伟表示：「网络安全不再只是技术问题，而是企业文化的一部分。员工是第一道防线，若缺乏警觉性，任何系统都难以保障安全。我们希望透过嘉许计划，推动跨行业合作，提供免费资源及认可评级，协助企业建立完善培训，减少网络攻击风险，让香港整体网络安全水平再提升。」

医院管理局资讯保安主管马振宇强调，医管局参与该计划的核心初衷源于对网络安全本质的深刻理解。「网络安全绝非单纯的技术问题，绝大部分数据漏洞及安全事故往往源于人为因素。员工每日处理大量信息、邮件与系统操作，其安全判断直接影响企业网络防线的稳固。因此，嘉许计划及其网络安全员工培训平台，正好提供清晰指引与多元资源，协助企业全面提升员工安全意识，构建『员工防火墙』，成为医管局保障资讯安全的重要策略。」
 

善用人性化举措 建立稳健安全架构

为推动员工安全意识提升，医管局制定多层次的实施策略。马先生指出，常见的四大资安风险因素:急躁、恐惧、贪婪与好奇心，皆源于「人」的行为，因此医管局构建「员工防火墙」时，特别强调「以人为本」并注重人性化设计。「首先，为因应员工尤其是前线同事的不同工作时段与繁忙程度，我们积极多样化宣传与培训形式，透过定期举办网络安全周、钓鱼电邮演习及线上课程等活动，并采用游戏化、场景化方式强化员工认知。其中，钓鱼电邮演习成效尤为显著，显著提升员工辨识可疑资讯的能力。此外，团队持续完善制度保障，建立并定期更新网络安全政策与架构，为员工日常工作提供清晰指引，确保各项措施符合标准。在日常实践层面，企业亦推动「培训与工作融合」，将安全培训嵌入工作流程，并透过内联网持续推送宣传海报、1分钟短片等易于理解的资讯保安内容，帮助员工加深记忆，令培训成效事半功倍。」

员工众多及多元背景 提升参与度为首要目标

医管局现有9万多名全职员工，资讯保安团队面临员工背景多元、语言水平差异及电脑操作能力不一等多重挑战。资讯科技及医疗信息部经理李翠儿表示，团队透过多项举措破解困局：「我们举办网络安全研讨会, 以真实案例剖析安全事件对机构与个人的双重影响，帮助员工扭转认知偏差；其次，发挥管理层示范作用，由管理层亲身参与活动，带动全员积极性，显著提升参与度，推动『员工防火墙』建设。」

李小姐坦言，对未能通过钓鱼电邮测试的员工，团队会逐一跟进，详细解析「中伏」原因并提供针对性辅导。「工作坊形式的培训，比传统自上而下的教学模式更具成效，能切实帮助员工理解网络安全的重要性及实践方法。考虑到医管局员工背景多元，宣传与培训采用通俗易懂的语言，搭配图像化表达方式，并以中文为主、英文为辅的双语模式，确保信息传递全面覆盖。」

一系列举措的成效，从员工的主动性与参与度可见一斑。「随著网络安全文化逐步建立，我们观察到员工不仅主动参与培训，更积极提出宣传语优化建议、举报风险，形成全员共建的良好局面。」

建议企业勇敢起步 将安全意识融入企业文化

对于有意参与「共建员工防火墙」嘉许计划的企业，马先生与李小姐分享经验并提出建议：「第一，要勇敢起步，毋须过度担心教材或资源不足，可充分利用HKIRC提供的培训素材与演练资源；第二，保持耐心，网络安全文化的培养非一日之功，需给予时间让不同背景的员工逐步理解并接纳；第三，灵活施策，建议结合企业运作模式及员工特质调整安全策略，确保措施广泛适用；第四，全员参与，上下一心，凝聚管理层与员工共同投入，提升员工对网络安全的重视程度。」

马先生补充，截至目前，医管局幸运地未曾发生重大网络安全事故。「在数字化运作渗透企业各层面的今天，网络安全已不再是单一部门的责任，而是需要全员参与的系统工程。唯有将安全意识深植企业文化，才能构建真正坚不可摧的防线。」
 

HKIRC全力推动「共建员工防火墙」

网络安全并非一蹴而就，而是一个持续改进的过程，需要企业长期投入并凝聚全员力量。即使企业暂时未能完全符合「员工防火墙」嘉许计划的所有要求，仍建议先行参与，因为这不仅是一项认可，更是一个学习与交流的平台。透过参与计划，企业能够借鉴获奖机构的最佳实践，掌握最新防御策略，并逐步建立专属的网络安全文化。随著网络攻击手法日益复杂，企业必须采取主动，将网络安全视为长期策略，而非一次性行动。「员工防火墙」的核心理念，是让每位员工肩负责任，成为企业安全的第一道防线，而不仅依赖IT部门或技术系统。透过持续培训与文化推广，企业能够全面提升防御能力，降低风险。

HKIRC行政总裁黄家伟表示，近年中小企普遍缺乏网络安全资源，HKIRC因此积极推出免费服务，例如网站安全检测及员工培训平台，并持续扩展网络安全计划，为不同类型企业提供多元支援，包括：提供技术建议的「检测与预防」措施、强化非技术员工的「安全意识」文化，以及透过「教育与发展」培养下一代网络安全人才。同时，HKIRC与业界重要持份者紧密合作，扩大计划覆盖范围，让更多企业受惠，全面提升香港整体网络安全水平。

「共建员工防火墙」嘉许计划2025/26评审要求

1. 网络安全培训
2. 员工参与钓鱼演习
3. 建立稳健的网络安全政策架构
4. 为网络安全问题建立明确的报告途径
5. 通过积极资讯共享来促进网络安全意识
6. 年度网络安全风险评估要求

如欲了解更多嘉许计划详情及得奖名单，请参阅官方网站：https://cyberhub.hk/tc/recognition-scheme
 

关于香港互联网注册管理有限公司

香港互联网注册管理有限公司 (HKIRC) 为香港特别行政区政府指定的非利润分配、非法定担保有限公司，专责从事香港地区顶级域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登记类别包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk，及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港，和将会在香港推出其他相关域名的服务。