在中電，董事會審核及風險委員會的主要職責之一是確保適當的風險管理得到貫徹執行，且在需要時採取適當的補救措施。網絡安全風險仍然是中電的最高風險之一，中電根據風險管理程序定期評估及向高級管理人員報告。

2019年，審核及風險委員會審查了集團就潛在網絡安全威脅加強緩解措施的分析及路線圖，並建議集團加強內部審計部與集團資訊保安部之間的合作。集團根據這些建議，在2020年初設立及綜合獨立的集團保安部，其職責將現有各種職能集於一身，確保中電的資產安全水平與網絡及實體風險水平相稱。

集團保安團隊從公司內部以及在其他行業中物色的網絡安全專業人員，為中電提供全面和互補的保安服務，包括實體、人員及網絡保安能力及專業知識。團隊由集團保安部高級總監領導，直接向集團的營運總裁報告。

將網絡安全及防禦融入日常業務營運，是營運抗逆的重點。

實體保安往往是保安方式的基礎，而且非常有效，能維持數據中心、控制室或輸配電站等敏感地點的完整性。保護實體資產及公司人員的安全涵蓋一系列活動，包括為員工出差、中電的營運地點（特別是關鍵的資產）提供專業的實體及人身保安建議，以及從保安及社會影響的角度審核所有潛在項目及收購。此亦包括維持、提供並提高集團的危機管理能力。

新冠病毒疫情驅使遙距工作成為大趨勢，由此產生的科技變革成為犯罪行為及國家政體行動前所未有的犯案機會。隨著愈來愈多通訊、業務及個人互動都轉到網上進行，網絡攻擊已到了前所未見的水平。攻擊涉及在系統中秘密安裝惡意軟件、竊取資料然後進行勒索，或拒絕服務。

每個行業都不能倖免於受到攻擊，而種種跡象顯示，此趨勢將持續加劇。網絡犯罪分子可能會因而獲得巨大的經濟回報，而企業則要付出額外成本，包括努力在攻擊肆虐的環境下開展業務、彌補名譽損失、支付監管罰款、升級基礎設施及安全程序，同時亦要面對新冠病毒疫情的挑戰。

中電深明不斷作出改善並提升保安措施的迫切需要，以保障業務免受一系列複雜而變化多端的威脅。中電需要對網絡駭客能力及意圖具備深入認知，有助建立對形勢的了解，作出措施提供指引以降低相關風險。預防勝於治療，而且更符合經濟效益。因此，中電將聚焦在網絡安全意識、培訓及教育上，幫助員工實踐良好的「網絡衛生」。

這一年內，集團一直發展網絡情報及網絡安全意識能力。更深入認識威脅者及他們的技術，幫助企業考慮修補程式軟件的優次，或及時有效地引入其他緩解措施。中電在員工層面開展安全意識活動，當中包括認識模擬網絡釣魚郵件、內部宣傳活動、簡報會、影片及受歡迎的網絡遊戲比賽。

集團危機管理計劃乃為應對可能導致業務中斷的緊急情況及危機而制定。中電不斷審視並提升計劃，以確保符合業務變化或涵蓋範圍更廣的經營環境。

網絡安全事件的特點在於虛擬空間中發生攻擊，並不如資料外洩般造成即時破壞，因此難以識別或追蹤。中電持續監察資訊科技系統和網絡，找出對其營運技術的威脅，令電廠機械及環境系統的控制不受侵擾。如果在接近資訊科技或營運技術網絡環境的地點識別出任何可疑活動，中電會立即調查，必要時將威脅隔離並使之復原。中電採用最先進的識別及修復系統，以及持續研究威脅類型，務求支援資訊科技及營運技術的專業人員保護中電的系統。

作為第一道防線，當事件發生時，中電將遵循集團危機管理計劃中的事故管理流程，如下圖所示：

為了向中電項目經理設定網絡實務參考，中電有需要制定標準以及相關和貫徹的政策。集團在穩固基礎上整理相關政策及準則，建立專業的保安架構，以支援公司所在區域及旗下企業。

在新項目的設計雛形制定網絡安全措施，比事後緩解措施更為有效（而且成本更低）。集團成立了專責團隊，提供內部網絡諮詢服務，指引各部門如何在其系統實施良好的網絡實務。例如，隨著雲端應用程式日益普及，中電建立了雲端安全原則，以確保外部代管服務符合中電的安全標準要求。雲端架構流程提供了一個簡單清晰的檢測表，協助中電的服務供應商明白公司預期的網絡安全準則。

在制定政策及確立系統後，集團保安部轄下獨立團隊將協助驗證這些措施是否貫徹遵循，以及相關的網絡安全風險是否得到適當的緩解。該部門的循證報告提供了重要的反饋系統，有助公司不斷改進。此外，團隊亦協助項目經理及業務主管了解在中電業務下的網絡安全風險，並就風險緩解策略提供指引。

2020年全年，中電團隊持續完善資訊科技及營運技術的風險分析，現在公司對各地關鍵及獨有資產的網絡健康狀況有更全面了解。

電力公司擁有大量客戶資訊，如賬單及分項用電數據。除客戶資料外，「個人資料」一詞還包括以下資料：僱員（包括現時和前僱員及準求職者）、承辦商及服務供應商，以及與公司有聯繫的業務夥伴、股東、訪客及公眾。

中電私隱原則載列有關公司保障個人資料的承諾和方針。當中亦隨附中電個人資料保障合規手冊，就該等原則的實踐向位於香港的業務單位提供指引。這兩份文件均會被定期更新，以確保符合最新監管規定及繼續反映中電持份者的期望。

2020年，香港中華電力的零售業務並無發生遺失客戶資料的事故。然而，公司發現有人士盜用中電及其他公司的名稱與中電的若干服務供應商以電郵聯繫，進行欺詐。幸好，事故迅速被發現，並按照既定的網絡安全事件報告流程向網絡安全團隊報告。在肩負保障個人資料的承諾下，公司迅速通知其服務供應商、其他成為欺詐目標的公司，以及市民大眾，以防止進一步的欺詐行為。中電亦在向公眾發布的通知中提供了有關個人資料安全的建議，使公眾了解可如何對未能確定真實性的中電信件進行核實。

根據1988年《澳大利亞隱私法》訂立的強制申報責任，EnergyAustralia於2020年向澳洲資訊專員公署（OAIC）報告了九宗與客戶個人資料外洩有關的私隱違規事故。該等違規個案均未有帶來任何制裁或處罰。EnergyAustralia已對有關個案的起因作出調查，並作出額外的控制措施，以防止事故重現。措施包括在登入賬戶及取得賬戶資訊前，為客戶提供額外的密碼保障。

如要加強保障客戶資料，重點之一是防止信息在未授權情況下披露予惡意攻擊者或假冒者。公司為員工舉辦了一系列活動以提高意識，包括溝通、質素保證評估、為前線工作人員進行指導及額外培訓。公司還進行了內部溝通、舉辦員工培訓和領導層簡報會，以確保所有員工明白最新的私隱和資料管理義務。此外，集團還實施了一項資料外洩應對計劃，包括成立一支資料外洩應對團隊，確保業務具備迅速應對的能力和程序。