Cybersecurity thematic review report 20250206 CHI Final Clean信息安全资料.pdfVIP

2023/24年持牌法團網絡保安主題檢視報告

2025年2月

目錄

A.摘要3

B.香港互聯網經紀業界環境概覽5

C.發現所得7

I.偵測及預防仿冒詐騙7

II.對生命周期結束的軟件的管理11

III.遙距接達13

IV.第三方供應商管理17

V.雲端保安22

VI.網絡保安規定的合規情況26

附錄A──第三方供應商評估30

附錄B──第三方供應商合約條文示例32

2

A.摘要

1

1.由證券及期貨事務監察委員會（證監會）於2017年10月發出的《網絡保安指引》已於

2018年7月全面實施，當中載有20項基本規定。

2.證監會於2020年完成了一項主題檢視（2019/20主題檢視），以審視在香港從事互聯網

2”）的系統和相關管理監控措施，及評估互

交易業務的持牌法團（下稱“互聯網經紀行

聯網經紀行有否遵守《網絡保安指引》和《操守準則》3（統稱為“網絡保安規定”）。

證監會同時將流動保安列為額外網絡保安焦點範疇，並加以檢視。

3.證監會近期進行了另一項主題檢視，以評估持牌法團在遵守網絡保安規定方面的趨勢。此

外，我們亦將仿冒詐騙（或稱網路釣魚）攻擊、採用生命周期結束的軟件4、遙距接達、

第三方資訊科技服務供應商（第三方供應商），以及在雲端環境中寄存交易和後勤工作系

統所出現的新興網絡保安風險和威脅，涵蓋在檢視範圍之內。

4.證監會進行了以下工作：

(a)由規模及業務種類各異的50家選定持牌法團完成的問卷調查。有關持牌法團包括證

券及期貨經紀行，槓桿式外匯交易商，提供網上分銷平台的基金經理，以及從事多

項受規管活動的環球金融機構（統稱“回應者”）；

(b)實地視察七家互聯網經紀行，以檢視其系統、程序和監控措施；及

(c)與六家擁有環球業務的持牌法團進行深度討論，以深入了解它們採取的網絡保安作

業方式。

5.儘管我們留意到，持牌法團在遵守網絡保安規定若干範疇的情況有所改善，但它們仍應注

意在是次檢視中所識別出的監控不足之處及沒有遵守有關規定的情況，包括用於登入系統

的雙重認證，系統伺服器和防火牆的保安監控配置，實施由軟件供應商發布的保安修補程

式及修正程式，對敏感數據進行加密，以及對使用者接達關鍵系統和數據庫的系統管理帳

戶所涉及的問題。

6.另外，一些持牌法團近