致從事互聯網交易的持牌法團的通函
有關資訊科技風險管理及網絡保安的良好業界作業方式

2017年10月27日



從事互聯網交易的持牌法團(“互聯網經紀行”)務請注意,《降低及紓減與互聯網交易相關的黑客入侵風險指引》(“《指引》”)僅屬最低標準。高級管理層應確保所有系統及監控措施與公司的業務需及營運相稱,並視乎需要實施額外的網絡保安監控措施。如有需要,可尋求解決方案提供者或技術顧問的協助。

附錄載有一份良好業界作業方式的清單作為額外指引。互聯網經紀行可考慮將當中所列的良好作業方式納入其資訊科技及網絡保安風險管理框架內。該份清單是本會根據過往發出的通函1所提議的監控措施,並輔以外部網路保安專家2參照最新的科技發展所提供的建議所編製。

互聯網經紀行應留意,《指引》連同良好業界作業方式清單將會取代過往的通函所述的建議監控措施。為免生疑問,互聯網經紀行仍要填妥互聯網交易自我評估查檢表3,作為定期檢視其互聯網交易系統工作的一部分。

證監會謹此重申,該份良好作業方式清單並非鉅細無遺。互聯網經紀行在採納有關作業方式或同等措施時,應同時考慮其本身的情況和當前及新冒起的網絡保安威脅。

如對本通函內容有任何疑問,請致電2231 1186與張月芬女士聯絡。

證券及期貨事務監察委員會
中介機構部
中介機構監察科

連附件

SFO/IS/042/2017


1 有關通函包括:(i) 日期為2017年1月26日的《網絡保安威脅警報》;(ii) 日期為2016年3月23日的《網絡保安》;(iii) 日期為2016年1月29日的《有關保障網上交易帳戶安全的提示》;(iv) 日期為2014年11月27日的《緩解網絡保安風險》;(v) 日期為2014年11月26日的《互聯網交易-資訊保安管理及系統的充足性》;及(vi) 日期為2014年1月27日的《互聯網交易-減低互聯網遭黑客入侵的風險》。
2
證監會就2016年網絡保安檢視而委任的外部網絡保安專家是一家跨國專業服務公司,在向金融服務業及監管機構提供網絡保安相關事宜的意見方面擁有多年經驗。
3
日期為2015年6月11日的《有關互聯網交易的通函-互聯網交易自我評估查檢表》。


按這裡下載文件

附錄文件:
附錄


最後更新日期 : 2017年10月30日