香港证监会颁布关于网络安全控制的全面指引文件

0
1150

港证券管理机构,证券及期货事务监察委员会(香港证监会)近期发布了关于持牌法团网络安全控制的全面指引文件。尽管该指引文件仅适用于受香港证监会管辖的持牌法团,但是代表了香港权力机构对于网络安全发布的最为全面的指引文件,对于机构如何有效预防网络威胁提供了有用的见解。

Story_2_pic《关于持牌法团网络安全的通函》(《通函》)于2016年3月23日发布,之后香港证监会对香港某些大型持牌法团的网络安全控制的有效性进行了审查。香港证监会的审查表明,大多处持牌法团具备积极主动的网络安全框架,但是也存在五大主要缺陷。

网络安全风险评估行为覆盖不足:审查发现,标准的网络安全风险评估(例如控制差距分析和基准)经常是基于面向互联网的系统和基础设施,而不是内部环境下的系统和网络或非面向互联网的系统,这些系统和网络也容易成为网络安全攻击对象。而且,测试仅针对基本类型的网络攻击,不能及时更新覆盖最新的网络安全问题。

网络安全风险评估的服务提供商不足:持牌法团严重依赖服务商提供的信息,而不是自行审查范围,方法或风险评估的后果。它们并没有采取积极主动的方法去整合系统、将服务商支持的控制环境纳入持牌法团网络安全风险评估的框架。缺失有关于具体规定执行网络风险评估或实地审计要求的正式程序或指引。

网络安全意识培训的不足:目前提供给员工的网络安全意识培训并没有涉及最新的网络安全问题。

网络安全事件管理的不足:针对最新网络安全威胁的网络安全事件应对计划和演习不足。一些严重但不常见的网络攻击情形并没有列入网络安全事件应对计划,并且香港经常不在全球演习/情景模拟的对象之内。

数据保护项目的不足:目前的数据保护项目不足以应对目前最新的网络安全威胁。例如,一些持牌法团不能分辨数据流,无法通过利用程序和技术来避免数据泄露或基于敏感数据采取合适的应对措施。

《商法摘要》由贝克·麦坚时律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:张大年(上海)[email protected]