將網絡安全及防禦融入日常營運中對中電來說至關重要。

隨著中電的業務及價值鏈日趨數碼化，網絡安全及防禦必須進行整合，而不能被視為附加部分。這得從一個全面的管治架構入手，確保現有及規劃中的網絡安全活動及投資具有成效。

審核及風險委員會的主要職責之一是確保適當的風險管理得到貫徹執行，且在需要時採取適當的補救措施。網絡風險是中電集團的最高風險之一，根據風險管理程序定期評估及向高級管理人員報告。所有項目在開發階段已考慮網絡風險，以確保項目初期已研究到相關風險。

2018年，中電聘請外部專業網絡安全顧問審查中電相關的未來管治架構並就此提出建議，以應對日益增長的威脅。審核及風險委員會和管理團隊接納該份報告的關鍵建議。2019年，審核及風險委員會持續監察這些建議的執行情況。

最重要的是，中電集團網絡安全策略已經制定並獲批，當中包括集團就潛在網絡安全威脅加強緩解措施的路線圖。 集團將會加強內部審計部與集團資訊保安部之間的合作，以及向審核及風險委員會定期提供網絡安全數據報告。網絡安全團隊將繼續管理監督中電集團的網絡安全。統一管理有助確保集團旗下所有業務可貫徹最佳實務。

中電的發電組合遍布亞太區不同國家，但它們在網絡世界卻保持互相聯繫。這些聯繫未必是透過集團本身的系統，也可能會透過供應商、客戶甚至任何持份者的個人設備做到。因此，不論地理位置如何，確保集團旗下所有業務單位採取一貫和足夠的網絡保護措施至關重要。

為了按照這些原則保護中電的資訊和營運，所有員工及相關業務夥伴必須在業務各個層面實施有效的安全監控措施、實務和程序。為確保這些技術需求能夠配合而非阻礙業務需要，集團網絡安全團隊提供一站式服務，在集團不同職能部門部署任何新技術前，提供網絡安全評估和諮詢。同時還為供應商制定標準化的網絡安全規定，使任何採購或外判系統可兼容中電系統並保持一致。

全球各地的網絡攻擊和資料外洩的複雜性和頻率不斷上升，能夠完全保護業務的方案並不存在。這更特顯及早發現加上有效的應變和修復措施是必不可少的。

中電集團的網絡安全事故應對程序制定了在檢測到安全事故時的統一應對措施。該程序於年內進行的定期演習中得到了檢測。

個人資料對中電的日常營運至關重要，有助改善所提供的服務。除了與公司有業務往來的業務夥伴、股東、訪客及公眾人士的資料外，這些資料亦包括由客戶、僱員（現時和前僱員及潛在求職者）、承辦商及服務供應商提供的資料。

中電私隱原則載列有關保障個人資料的承諾。當中亦隨附中電個人資料保障合規手冊，就該等原則的實踐向位於香港的業務單位提供指引。這兩份文件均定期更新，以確保滿足最新監管規定及繼續反映持份者的期望。

2019年，香港中華電力的零售業務並無發生干犯客戶私隱或遺失客戶資料的事故。

2019年3月，香港其中一個網站被入侵。即使影響微不足道，但事件凸顯了加強各項業務的網絡安全保護的重要性。

2019年，EnergyAustralia接獲澳洲資訊專員公署(OAIC)三宗獨立的私隱投訴通知¹。EnergyAustralia已向OAIC提供所需的最新資料，迄今為止，OAIC已正式終止全部三宗投訴，EnergyAustralia無需採取進一步措施。

此外，EnergyAustralia於2019年自願向OAIC上報八宗獨立的客戶私隱外洩個案。OAIC已正式終止上述外洩個案中的其中一宗，公司正等待OAIC有關上報其他七宗外洩個案所需採取任何行動的進一步指示。

中電意識到，業務的某些方面可能會較其他方面更易受到攻擊。因此，集團正投入大量時間和資源，加強內部網絡安全能力。2018年，中電透過培訓電力營運部門的內部專家，建立了一支網絡安全專業人員團隊。這項措施有助將網絡安全實務融入集團的日常業務中。今年，團隊繼續壯大，並且獲授權對整個中電集團的網絡安全進行管理監督。中電已委任一名新的集團資訊安全高級總監，負責監督集團的網絡安全策略。中電亦將繼續增聘資訊安全專家，以增加集團這方面的實力。

年內，公司為員工舉辦了一系列宣傳活動，包括釣魚電郵演習、出版定期刊物《CyberNews》、在集團各個辦公室進行營運科技保安的路演，以及於2019年10月在香港舉辦「網絡安全意識月」活動。

根據《1988年澳洲私隱法案》（《私隱法》）規定的全新強制性資料外洩報告責任，EnergyAustralia進行了一項內部風險評估，以了解其遵守有關法案的能力。公司進行了內部溝通、舉辦員工培訓和領導層簡報會，以確保所有員工獲得最新的私隱和資料管理培訓。此外，集團還實施了一項資料外洩應對計劃，包括成立一支資料外洩應對團隊，確保業務具備迅速應對的能力和程序。該計劃旨在加強員工對工作或個人生活中可能發生的資料外洩的警覺性。