資料隱私與網絡安全

我們深明個人資料私隱的重要性，並採取一切必要措施加以保障維護。為此，我們制定了《個人資料私隱政策》，訂明收集、使用、分享及保護個人資料的準則。網絡安全已成為持份者的主要關注點，煤氣公司亦設有《資訊保安政策》，確保集團的資訊與技術資產的機密性、完整性及可用性。

保障網絡安全和關鍵資料（財務、客戶和營運）是集團面對的主要風險之一。風險包括未經授權查閲系統和資料，可能導致侵犯客戶、僱員和其他人士的個人資料私隱，對集團的業務產生不利影響。我們通過風險管理程序定期評估上述風險。
集團行政風險管理委員會定期匯報和討論集團主要風險及風險紓緩措施，而重大風險及相應措施由企業審計及風險管理部向審核及風險委員會（代表董事會）進行匯報，並由審核及風險委員會檢討有關風險狀況。

僱員是保護客戶私隱的關鍵。若僱員缺乏應有的意識、處理客戶資料失當或對網絡安全風險了解不足，導致客戶資料外洩的機會亦會相應增加。為避免這種情況發生，我們採取多項方法，包括提供研討會培訓、分享網絡安全貼士和舉行網絡釣魚模擬，以及舉行年度資訊保安周，讓僱員了解有關保護個人資料及網絡安全知識的最新資訊。
為了減低個人資料外洩的風險，並維持客戶對煤氣公司的信任，倘氣體技術員或其他前線人員遺失移動設備，公司也有方法可遠端刪除該移動設備內的所有資料。我們的客戶關係管理系統採用嚴謹資料儲存機制，以減低可能出現的黑客盜取資料事件的影響。

客戶私隱

煤氣公司實施一個私隱管理系統，用於處理保障個人資料私隱的問題，確保遵守現行法規以及向資料當事人問責。私隱管理系統涵蓋一系列政策及程序，我們通過系統控制和持續評估以保障資料私隱。我們亦會對私隱政策的合規性進行定期的內部審核。

我們的資料私隱常務委員會（委員會）負責審視處理個人資料的相關策略，該委員會的主席由法律總監擔任並直接向常務董事匯報。透過資料保護主任及部門資料保護協調員的一直努力建立了正式的溝通渠道，合力處理個人資料事宜，例如發布最新的資料保護資訊和提高私隱管理系統的有效性。

此外，委員會亦致力防止資料外洩。倘資料不慎外洩，委員會將作出危害風險即時評估，決定是否需要向高層管理人員呈報，並就事件提出解決方案。

每年，各部門須就其遵守資料保障原則的要求及年內可能出現的任何保護資料事宜向公司作出聲明。

私隱影響評估和資料處理者檢視清單是煤氣公司在私隱管理系統中的兩項重要工具，用於評估新項目或程序的潛在私隱風險。私隱影響評估確保我們的客戶資料得到保障，並確認我們遵守香港《個人資料（私隱）條例》的規定。公司在委託第三方處理新增或現有項目的客戶資料時，亦會要求進行資料處理者檢視清單的審核程序。我們亦設立網上私隱管理系統，以便提交資料處理者審查清單及建立我們的個人資料庫。

網絡安全

為應對網絡安全問題，煤氣公司設有網絡安全委員會，負責處理公司所有網絡安全事宜。企業資訊科技總監負責監督公司內部的網絡安全，並直接向常務董事匯報（現任常務董事為董事會成員）。

進行早期異常檢測可盡早識別可疑活動，從而將影響減至最低。我們通過ATT&CK（入侵者戰術、技術和共有知識庫）框架的威脅情報和主動監察，嚴格審查任何可疑活動，並根據其合法性和事故應變程序進行驗證。為強化網絡安全，我們聘請了第三方顧問全天候監控網絡，防範系統受到網絡攻擊。該顧問備有綜合全球威脅情報，並利用平台增強檢測能力。此平台減低煤氣公司在數碼現代化過程中可能遇到的網絡風險以持續創新。此外，我們定期進行內部滲透測試和年度第三方安全評估，以識別漏洞，減低網絡安全風險。

為應付網絡事故，我們制定了網絡安全事故應變計劃（應變計劃）及應對五大網絡安全事故的五份應變手冊（包括資料外洩和網絡攻擊）。該應變計劃為僱員提供可行並一致的流程，以應對可能嚴重影響業務的網絡事故，並迅速應變及善後。一旦發生疑似網絡攻擊事件，網絡安全委員會將啟動應變流程，遏制資料外洩，並會聯繫香港警務處網絡安全中心和其他保安專家。我們亦會每年對事故應變程序進行測試。

為確保煤氣公司的恢復能力，我們每年會在災備中心進行災難恢復演練。