资料隐私与网络安全

我们深明个人资料私隐的重要性，并采取一切必要措施加以保障维护。为此，我们制定了《个人资料私隐政策》，订明收集、使用、分享及保护个人资料的准则。网络安全已成为持份者的主要关注点，煤气公司亦设有《资讯保安政策》，确保集团的资讯与技术资产的机密性、完整性及可用性。

保障网络安全和关键资料（财务、客户和营运）是集团面对的主要风险之一。风险包括未经授权查阅系统和资料，可能导致侵犯客户、雇员和其他人士的个人资料私隐，对集团的业务产生不利影响。我们通过风险管理程序定期评估上述风险。
集团行政风险管理委员会定期汇报和讨论集团主要风险及风险纾缓措施，而重大风险及相应措施由企业审计及风险管理部向审核及风险委员会（代表董事会）进行汇报，并由审核及风险委员会检讨有关风险状况。

雇员是保护客户私隐的关键。若雇员缺乏应有的意识、处理客户资料失当或对网络安全风险了解不足，导致客户资料外泄的机会亦会相应增加。为避免这种情况发生，我们采取多项方法，包括提供研讨会培训、分享网络安全贴士和举行网络钓鱼模拟，以及举行年度资讯保安周，让雇员了解有关保护个人资料及网络安全知识的最新资讯。
为了减低个人资料外泄的风险，并维持客户对煤气公司的信任，倘气体技术员或其他前线人员遗失移动设备，公司也有方法可远端删除该移动设备内的所有资料。我们的客户关系管理系统采用严谨资料储存机制，以减低可能出现的黑客盗取资料事件的影响。

客户私隐

煤气公司实施一个私隐管理系统，用于处理保障个人资料私隐的问题，确保遵守现行法规以及向资料当事人问责。私隐管理系统涵盖一系列政策及程序，我们通过系统控制和持续评估以保障资料私隐。我们亦会对私隐政策的合规性进行定期的内部审核。

我们的资料私隐常务委员会（委员会）负责审视处理个人资料的相关策略，该委员会的主席由法律总监担任并直接向常务董事汇报。透过资料保护主任及部门资料保护协调员的一直努力建立了正式的沟通渠道，合力处理个人资料事宜，例如发布最新的资料保护资讯和提高私隐管理系统的有效性。

此外，委员会亦致力防止资料外泄。倘资料不慎外泄，委员会将作出危害风险即时评估，决定是否需要向高层管理人员呈报，并就事件提出解决方案。

每年，各部门须就其遵守资料保障原则的要求及年内可能出现的任何保护资料事宜向公司作出声明。

私隐影响评估和资料处理者检视清单是煤气公司在私隐管理系统中的两项重要工具，用于评估新项目或程序的潜在私隐风险。私隐影响评估确保我们的客户资料得到保障，并确认我们遵守香港《个人资料（私隐）条例》的规定。公司在委托第三方处理新增或现有项目的客户资料时，亦会要求进行资料处理者检视清单的审核程序。我们亦设立网上私隐管理系统，以便提交资料处理者审查清单及建立我们的个人资料库。

网络安全

为应对网络安全问题，煤气公司设有网络安全委员会，负责处理公司所有网络安全事宜。企业资讯科技总监负责监督公司内部的网络安全，并直接向常务董事汇报（现任常务董事为董事会成员）。

进行早期异常检测可尽早识别可疑活动，从而将影响减至最低。我们通过ATT&CK（入侵者战术、技术和共有知识库）框架的威胁情报和主动监察，严格审查任何可疑活动，并根据其合法性和事故应变程序进行验证。为强化网络安全，我们聘请了第三方顾问全天候监控网络，防范系统受到网络攻击。该顾问备有综合全球威胁情报，并利用平台增强检测能力。此平台减低煤气公司在数码现代化过程中可能遇到的网络风险以持续创新。此外，我们定期进行内部渗透测试和年度第三方安全评估，以识别漏洞，减低网络安全风险。

为应付网络事故，我们制定了网络安全事故应变计划（应变计划）及应对五大网络安全事故的五份应变手册（包括资料外泄和网络攻击）。该应变计划为雇员提供可行并一致的流程，以应对可能严重影响业务的网络事故，并迅速应变及善后。一旦发生疑似网络攻击事件，网络安全委员会将启动应变流程，遏制资料外泄，并会联系香港警务处网络安全中心和其他保安专家。我们亦会每年对事故应变程序进行测试。

为确保煤气公司的恢复能力，我们每年会在灾备中心进行灾难恢复演练。