适用于虚拟资产交易平台营运者的指引之网络保安详细介绍

适用于虚拟资产交易平台营运者的指引之网络保安详细介绍：

---

XII. 网络保安

12.1 平台营运者应确保平台（包括其交易系统及保管基础设施）的设计是适当的，及在符合所有适用的法例及规例的情况下营运，并且应确保支持平台营运的所有系统及程序均属稳健并获妥善维护，以尽量减少及适当地管理盗窃、欺诈及其他不诚实行为风险、专业上的失当行为、错误及遗漏、服务中断或其他运作或监控缺失。

12.2 平台营运者应确保设有稳健的管治安排，以监察其平台的营运，并应备有充足的人力、技术及财政资源，以确保其平台得以妥善地营运。

12.3 平台营运者应有效管理及充分监督平台的设计、开发、应用、运作及改动，并且应就平台的设计、开发、应用、运作及改动订立并实施书面的内部政策及程序，以确保下列事项：

• (a) 平台营运者的关键人员应具备必要的专业资格、管理和技术经验，以确保适当及持续提供由平台营运者所供应的虚拟资产交易服务。平台营运者应识别关键人员（例如平台的创办人或首席开发员），并制定计划以减低相关的关键人员风险。
• (b) 平台营运者应至少有一名负责人员负责其平台的整体管理及监督，设定网络保安管理框架及列明主要角色和责任。这些责任包括：
  • (i) 审视及批准与平台的设计、开发、应用、运作、改动及网络保安风险管理事宜有关的政策及程序；
  • (ii) 审视及批准与平台和网络保安风险管理的资源有关的预算及开支；
  • (iii) 安排定期进行技术稽查（见第12.7段）及独立的网络保安评估（见第12.13段）；
  • (iv) 审视与平台有关的紧急情况、中断事故和网络保安事故所引致的重大事件；
  • (v) 审视内部和外部稽查及网络保安检视所识别出的重大发现；批准作出补救行动及监察有关工作直至行动完成为止；
  • (vi) 监察及评估网络保安威胁及攻击，包括掌握有关网络威胁形势、新漏洞、缺陷和攻击媒介的最新知识，收集网络威胁情报，及运用自动化工具来定期进行漏洞扫瞄；
  • (vii) 审视及批准为平台而设立的应变计划；
  • (viii) 审视及批准最初及持续的尽职审查，及与向平台提供外判服务有关的第三方服务提供者的服务协议及合约（如适用）。

这些责任可以书面形式转授予指定委员会或营运单位，但整体责任仍由负责人承担。

• (c) 平台营运者应在交易、风险及合规部门共同提供意见下订有正式的管治程序。
• (d) 平台营运者应设有清楚界定的汇报途径，将监督和汇报职责指派予合适的职员执行。
• (e) 平台营运者应订有管理监控措施及监督管制措施，用以管理与其客户使用平台相关的风险。

12.4 平台营运者应进行定期检视，以确保这些内部政策及程序能配合不断变化的市况、网络威胁形势及监管发展，并从速对任何已识别的不足之处作出纠正。

12.5 平台营运者应为平台的设计、开发、应用、运作及改动调配具备足够资格的职员、专才、技术设备及财政资源。

12.6 如平台或与其相关的任何活动是由第三方服务提供者提供或被外判予第三方服务提供者，平台营运者便应作出适当的尽职审查、持续的监察及适当的安排，以确保平台营运者符合本指引的规定（包括本指引第XII部及下文第XIV部（备存纪录））。特别是，平台营运者或其有联系实体应与有关服务提供者订立正式的服务协议，当中须订明服务条款及提供者的责任。服务协议应定期予以审视，并在适当时作出修改，以反映所提供的服务和外判安排的任何变更或监管发展。在可行的情况下，有关协议应以量化方式详细规定服务提供者需提供的足够保养及技术协助。

12.7 平台营运者应安排具备合适资格的独立专业人士定期进行技术稽查（至少每年一次），从而使其信纳本身及其有联系实体已充分遵循本指引第XII部的规定。平台营运者应以适当的技能、小心审慎和勤勉尽责的态度拣选及委任独立的专业人士，并应考虑他们在检视虚拟资产相关技术方面的经验和往绩纪录。平台营运者在识别出任何违规行为时，应采取及应确保其有联系实体采取及时的纠正措施。

平台的充足性

12.8 平台营运者应确保平台的稳健性，将其系统的可靠性、安全性及容量维持在高水平，并设有适当的应变措施。

平台的可靠性

12.9 平台营运者应就系统升级及维护订有书面标准运作程序。标准运作程序需包含：

• (a) 通讯的方式，以及如何处理仍在买卖盘纪录册且有待执行的交易指示；
• (b) 有关在系统停机后及在恢复持续交易前有多少时间输入、更改或取消交易指示的资料；
• (c) 适用于在预期及计划之外，并对有序市场构成影响的系统故障的程序。

12.10 平台营运者应确保其平台及对平台的所有改动（例如实施新的系统或将现有系统升级）在应用前均经过测试，并定期进行检视，以确保平台及所有改动的可靠性。具体来说，平台营运者在应用平台及其改动前应至少进行以下事项：

• (a) 由高级管理层检视及签署确认测试结果；
• (b) 将系统及数据完整备份；
• (c) 制订应变计划，以在平台的新版本出现任何重大及无法复原的错误时，回复至先前的版本。

平台营运者应就平台的所有改动备存清晰的审计线索。

12.11 如平台营运者计划中断平台或系统以进行升级和测试其平台或系统，且有关中断可能对客户构成影响，平台营运者便应在切实可行的情况下尽早通知其客户。

平台的安全性

12.12 平台营运者应采取充足、最新及适当的保安监控措施，以保护平台免被滥用。保安监控措施至少应包括：

• (a) 藉着可靠的验证及授权方式及技术以确保只有获授权的人士在有需要的情况下方可进入平台。具体来说：
  • (i) 只准许其职员在有需要的情况下取览有关在平台上发出的交易指示及已执行的交易的买卖资料，使平台妥善及有效率地运作，并时刻让高级管理层知悉：
    • (I) 每名有关职员的身分（列出职衔及部门）及其可取览的资料；
    • (II) 每宗个案中需要获准取览有关资料的理由；
    • (III) 获准取览有关资料的职员有否变动，以及作出有关变动的理由；
  • (ii) 采纳适当的用户认证方法，使相关使用者的身分能够被精准地识别；
  • (iii) 至少每年审视使用者有权接达的平台及数据库的列表，以确保只有获核准且有需要的人士方可接达或使用该平台及数据库，并及时撤销不必要的使用者接达权和特权（例如离职员工）；
  • (iv) 备存一份充足的取览纪录，记载有权进入其平台的职员的身分和职务、被取览的资料、取览时间、有关取览的任何授权以及每宗个案中获准取览有关资料的理由，并设有足够的保护措施，以防止有关纪录被窜改或删除；

• (v) 定期更改密码，并设立严格的制度，以确保每名员工定期更改密码；

平台应对网络保安事故作出的应变措施

12.13 平台营运者应制定并实行应变措施，以应对网络安全事故、系统漏洞或破坏，或其他形式的安全失当行为。这些应变措施包括但不限于：

• (a) 完善的网络安全风险管理计划，能及时应对潜在威胁并保持稳定运营；
• (b) 包含信息披露要求，以便及时向客户及监管机构报告可能影响客户交易安全的信息或事件；

12.14 如发生重大网络安全事故，平台营运者应立刻启动应变程序，实施危机管理，迅速识别并修复漏洞，确保用户数据安全，并且向监管机构及客户提供及时、透明的报告和修复进度。

---

---

平台的容量

12.15 平台营运者应确保：

• (a) 定期监察平台的容量使用情况，并订有适当的容量规划。在进行容量规划时，平台营运者应决定所需的备用容量水平及就此备存有关纪录；
• (b) 对平台的容量定期进行压力测试，以确定在不同的模拟市况下的系统表现，并以文件载明压力测试的结果及为解决压力测试所发现的问题而采取的任何行动；
• (c) 平台的容量足以处理在营业额及市场成交量方面任何可预见的增长；及
• (d) 设有应变安排：
  • (i) 以便当平台的容量超限时能处理客户的交易指示；
  • (ii) 通知客户有关安排，及确保向客户提供可用以执行交易指示的其他途径。

---

源代码审查

68 就保管系统及与其接合或连接的其他系统的源代码审查而言，虽然在推出平台前进行的评估及持续进行定期评估应由独立第三方负责，但与改动有关的审查可在作出该等改动前由独立第三方或平台营运者自行进行。为免生疑问，如保管系统及与其接合或连接的其他系统在平台初步推出后并无作出任何改动，则无需进行源代码审查。

---

系统及数据备份

12.16 平台营运者应至少每天将其业务纪录、客户及交易数据库、服务器及证明文件在离线媒体进行备份。在办公室以外地方的储存一般须设有妥善的保安措施。平台营运者亦应实施适当的措施，确保备份副本是完整及可供取览的。

---

应变措施

12.17 平台营运者应审慎地识别及管理相关风险（包括任何预期之外的后果），并设有适当的应变安排。有关安排应包括一份书面应变计划，以处理与平台有关的紧急情况及网络保安事故等的中断事故，包括在系统复原后检查及确保数据的完整性，及确保交易在系统恢复运作后可以公平和有序的方式进行。

12.18 应变计划至少应包括：

• (a) 可能出现的中断情景，包括网络攻击情境，例如分散式阻断服务攻击，及业务纪录和客户数据因网络攻击而完全损毁的情况，及有关启动应变计划的相应程序；
• (b) 适当的后备设施，令平台营运者可在紧急情况下继续提供其交易服务或有关执行交易指示的其他安排；及
• (c) 有经过培训的员工处理客户及监管当局的查询。

12.19 平台营运者应确保后备设施及应变计划至少每年进行一次有关可行性及充足性方面的检讨、更新及测试。

12.20 如出现重大延误或故障，平台营运者应及时：

• (a) 纠正有关情况；及
• (b) 在切实可行的情况下尽快通知客户有关情况，及他们将会如何处理客户有待执行的交易指示及存取指示。

---

如需进一步协助，包括申请、合规指导及后续维护服务，请随时联系仁港永胜 www.cnjrp.com 手机:15920002080（深圳/微信同号） 852-92984083（Hongkong/WhatsApp）获取帮助，以确保业务合法合规！