資料隱私與網絡安全

煤氣公司實施一個私隱管理系統，用於處理保障個人資料私隱的問題，確保遵守現行法規以及向資料當事人問責。私隱管理系統涵蓋一系列政策及程序，我們通過系統控制和持續評估以保障資料私隱。我們亦會對私隱政策的合規性進行定期的內部審核。
 
我們的資料私隱常務委員會（委員會）負責審視處理個人資料的相關策略，該委員會的主席由法律總監擔任並直接向常務董事匯報。透過資料保護主任及部門資料保護協調員的一直努力建立了正式的溝通渠道，合力處理個人資料事宜，例如發布最新的資料保護資訊和提高私隱管理系統的有效性。
 
此外，委員會亦致力防止資料外洩。倘資料不慎外洩，委員會將作出危害風險即時評估，決定是否需要向高層管理人員呈報，並就事件提出解決方案。
 
每年，各部門須就其遵守資料保障原則的要求及年內可能出現的任何保護資料事宜向公司作出聲明。
 
私隱影響評估和資料處理者檢視清單是煤氣公司在私隱管理系統中的兩項重要工具，用於評估新項目或程序的潛在私隱風險。私隱影響評估確保我們的客戶資料得到保障，並確認我們遵守香港《個人資料（私隱）條例》的規定。公司在委託第三方處理新增或現有項目的客戶資料時，亦會要求進行資料處理者檢視清單的審核程序。我們亦設立網上私隱管理系統，以便提交資料處理者審查清單及建立我們的個人資料庫。

為應對網絡安全問題，煤氣公司設有網絡安全委員會，負責處理公司所有網絡安全事宜。企業資訊科技總監負責監督公司內部的網絡安全，並直接向常務董事匯報（現任常務董事為董事會成員）。

進行早期異常檢測可盡早識別可疑活動，從而將影響減至最低。我們通過ATT&CK（入侵者戰術、技術和共有知識庫）框架的威脅情報和主動監察，嚴格審查任何可疑活動，並根據其合法性和事故應變程序進行驗證。為強化網絡安全，我們聘請了第三方顧問全天候監控網絡，防範系統受到網絡攻擊。該顧問備有綜合全球威脅情報，並利用平台增強檢測能力。此平台減低煤氣公司在數碼現代化過程中可能遇到的網絡風險以持續創新。此外，我們定期進行內部滲透測試和年度第三方安全評估，以識別漏洞，減低網絡安全風險。

為應付網絡事故，我們制定了網絡安全事故應變計劃（應變計劃）及應對五大網絡安全事故的五份應變手冊（包括資料外洩和網絡攻擊）。該應變計劃為僱員提供可行並一致的流程，以應對可能嚴重影響業務的網絡事故，並迅速應變及善後。一旦發生疑似網絡攻擊事件，網絡安全委員會將啟動應變流程，遏制資料外洩，並會聯繫香港警務處網絡安全中心和其他保安專家。 我們亦會每年對事故應變程序進行測試。

為確保煤氣公司的恢復能力，我們每年會在災備中心進行災難恢復演練。