證券及期貨事務監察委員會(證監會)將對選定的持牌法團展開網絡保安檢視,重點是評估它們的網絡保安管理和合規情況,以及其資訊系統對網絡保安威脅的抵禦能力。
網絡保安是證監會在監管持牌法團工作方面的一大重點。除其他規定外,所有持牌法團均應遵守《操守準則》1所訂明的系統保安相關規定。提供互聯網交易的持牌法團亦須遵守《降低及紓減與互聯網交易相關的黑客入侵風險指引》(《網絡保安指引》)所載的基本規定、網絡保安常見問題2及《2019-20年互聯網經紀行網絡保安主題檢視報告》3所載的預期標準。
證監會普遍注意到,持牌法團已實施一些保安監控措施,以保障客戶的互聯網交易帳戶。然而,部分公司對網絡風險缺乏警覺性,而且可能沒有充足的監控措施,以保護其資訊系統及數據。
一些持牌法團近年向證監會報告的網絡保安事故,及證監會的視察結果顯示有多個保安漏洞及不足之處,包括採用生命周期結束4的軟件,以及未能充分監控遙距接達和網路釣魚攻擊,令黑客可輕易地入侵持牌法團的資訊系統。 科技進步可能會帶來額外的網絡風險。證監會注意到,很多持牌法團都聘用第三方科技供應商提供及支援的業務系統5和其相關網絡基礎設施,並且有愈來愈多公司將其系統和數據寄存在雲端環境中。 為了更有效地評估業界對網絡風險的準備情況及抵禦能力,證監會將於2023年9月展開網絡保安檢視。在有關檢視過程中: a) 證監會將進行問卷調查,對象為具有不同規模和業務類型的選定持牌法團,包括證券及期貨經紀行、槓桿式外匯交易商、環球金融機構及提供網上產品分銷平台的公司。該問卷調查一般將涵蓋: (i) 網絡保安管理及事故報告; (ii) 確保系統及數據的機密性、完整性和可用性的網絡保安監控措施; (iii) 雲端保安監控措施及管治; (iv) 遙距接達監控措施; (v) 資訊科技資產的生命周期管理;及 (vi) 管理外判予第三方科技供應商的系統所引起的網絡保安風險; b) 證監會將與選定的持牌法團會面,以深入了解它們的網絡保安管治和監控措施;及 c) 證監會將對一些選定的持牌法團進行現場視察,以深入檢視其資訊科技及相關的管理監控措施,以及評估其遵守《網絡保安指引》及其他預期標準的情況。
是次網絡保安檢視的結果將成為證監會向業界發出進一步指引的基礎。在適當的時候,證監會將與業界分享是次網絡保安檢視的觀察所得及結果。
如你對本通函的內容有任何疑問,請致電2231 1455與郭嘉慧女士聯絡。
證券及期貨事務監察委員會 中介機構部 中介機構監察科 SFO/IS/021/2023 1 《證券及期貨事務監察委員會持牌人或註冊人操守準則》第4.3及18.5段和附表7第1.2段。 2 《網絡保安指引》及網絡保安常見問題由證監會於2017年10月發出。 3 該報告由證監會於2020年9月發出。 4 指的是使用期已告結束,並且供應商已停止就其提供支援的軟件(例如 Windows 伺服器 2008)。因此,無法應用最近期的保安修補程式及修正程式。 5 例子包括電子交易系統和後勤辦公室交收及會計系統。
Comentários