B BROCENT

香港證監會9號牌(資產管理)申請指南:IT系統、網絡安全與合規要求(2026版)

在香港充滿活力的金融服務業中,獲得證券及期貨事務監察委員會(SFC)的9號牌照(資產管理)是希望從事資產管理活動的公司的重大里程碑。無論您是為高淨值個人、機構投資者管理投資組合,還是推出基金,9號受規管活動——「資產管理」——允許您提供酌情管理服務和管理集體投資計劃。然而,在當今數字時代,網絡威脅不斷升級,營運彈性至關重要,SFC對您的資訊科技(IT)系統、網絡安全措施和業務連續性能力(BCP)的重視,是牌照審批中最實質性的部分之一。

發佈於

香港證監會9號牌(資產管理)申請指南:IT系統、網絡安全與合規要求(2026版)

在香港充滿活力的金融服務業中,獲得證券及期貨事務監察委員會(SFC)的9號牌照 (資產管理)是希望從事資產管理活動的公司的重大里程碑。無論您是為高淨值個人、機構投資者管理投資組合,還是推出基金,9號受規管活動——「資產管理」——允許您提供酌情管理服務和管理集體投資計劃。

然而,在當今數字時代,網絡威脅不斷升級,營運彈性至關重要,SFC對您的資訊科技(IT)系統、網絡安全措施和業務連續性能力(BCP)的重視,是牌照審批中最實質性的部分之一。

重要的是,對於大多數標準的9號牌申請,SFC通常不需要 申請人提交獨立的第三方IT審計報告。相反,證監會會對您的IT架構、內部控制和風險管理框架進行嚴格的綜合實質審查。這種綜合方法意味著您在《業務計劃書》和《內部控制問卷》中的IT描述必須詳盡、準確,並展示出成熟的營運設置。

本指南將SFC當前期望(包括牌照實務、2019年外部數據儲存通函、網絡安全專題審查以及虛擬資產特定條件)轉化為可操作的見解。無論您是傳統基金經理、量化驅動公司,還是計劃涉及虛擬資產敞口,都能了解需要準備什麼、何時會觸發加強審查,以及如何透過WINGS平台在目標15週內完成審批。

1. SFC對IT治理在9號牌牌照中的整體方法

SFC的主要關注點是投資者保護市場誠信 。IT系統不是孤立看待的,而是支持準確訂單執行、可靠投資組合估值、及時報告、職責分離以及從中斷中快速恢復的支柱。

由於大多數9號牌申請人並不營運高量零售交易平台,SFC通常不會在申請階段要求單獨的正式外部IT審計。然而,這並不意味著審查較輕。個案主任會審查:

  • 您的IT環境如何支持《業務計劃書》中描述的端到端業務流程。
  • 網絡安全控制、加密標準、訪問管理和監控的充分性。
  • 備份和災難恢復安排的穩健性和測試狀態。
  • 記錄保存義務的合規性,特別是使用雲服務或外部數據儲存提供商(EDSP)時。

IT文檔中的缺陷是導致問詢輪次延長的最常見原因之一。準備充分的IT部分可以顯著縮短整體審批時間。

2. 核心IT審查要求(幾乎每份申請都必須說明)

您必須在提交材料中說明以下四個支柱。這些不是可選的,而是SFC評估您營運適合性的基礎。

2.1 業務流程與IT系統整合

SFC官員希望看到您的營運工作流程與執行或記錄這些流程的技術之間有清晰、準確的映射。

需要提供的內容:

  • 詳細的流程圖(或泳道圖),涵蓋客戶開戶(包括KYC/AML整合)、訂單下達與執行、投資組合再平衡與管理、交易捕獲與結算、對賬、NAV計算、客戶報告以及監管提交。
  • 每個階段使用的具體IT系統說明(如訂單管理系統、投資組合管理系統、會計/ERP、對賬工具、數據倉庫)。
  • 直通處理(STP)率、手動干預點、自動驗證與對賬控制以及審計追蹤完整性的說明。
  • 系統如何強制職責分離並防止未經授權更改靜態數據(如費用表、交易對手名單)。

實用提示: 同時提供高層架構圖和更細粒度的數據流圖。提及與託管人、主經紀商或行政管理人的任何整合,以及異常如何升級和解決。諸如「我們使用穩健系統」這樣的模糊表述會引發後續問題。

2.2 網絡安全與數據加密

網絡安全是SFC的持續優先事項,由專題審查和《操守準則》期望所強化。

需要展示的關鍵領域:

  • 具有分層防禦的網絡架構(防火牆、入侵檢測/預防、相關Web應用防火牆)。
  • 加密標準:傳輸中使用TLS 1.2或更高版本;敏感數據靜態儲存使用AES-256(或等效)。
  • 身份與訪問管理:基於角色的訪問控制(RBAC)、所有遠程和特權訪問的多因素認證(MFA)、定期訪問審查和再認證。
  • 端點保護、補丁管理流程和漏洞管理計劃。
  • 日誌記錄、監控和安全資訊與事件管理(SIEM)能力,以及異常的明確升級路徑。
  • 事件響應計劃,包括重大事件及時通知SFC。

即使在牌照階段沒有強制外部滲透測試,描述您的內部測試節奏、補救流程以及任何近期獨立評估,也會增強可信度。

2.3 備份與災難恢復(BCP/DR)

SFC期望持牌公司保持與其業務性質、規模和複雜性相稱的營運彈性。

基本要素:

  • 記錄的業務連續性計劃(BCP)和災難恢復計劃(DRP),為關鍵功能明確定義恢復時間目標(RTO)恢復點目標(RPO) (例如,投資組合管理和交易系統的RTO ≤ 4小時、RPO ≤ 1小時是常見做法)。
  • 遵循3-2-1原則(或更好)的備份策略,並定期測試(至少每年一次,包括可行的完整DR故障轉移測試)。
  • 主站點和恢復站點的地理分離(避免同一建築、園區或電網等單點故障)。
  • 替代通信渠道、手動變通程序以及危機期間的明確職責。
  • 與第三方依賴方(行政管理人、託管人、雲提供商)的整合以及這些接口的測試。

SFC官員經常要求提供近期BCP/DR測試結果和經驗教訓的證據。

2.4 外部數據儲存提供商(EDSP)與雲端合規

許多申請人現在使用公共雲服務(AWS、Azure、Google Cloud、阿里雲、騰訊雲)以實現成本效益和可擴展性。SFC 2019年外部電子數據儲存通函設定了明確期望。

如果您將監管記錄專門儲存在EDSP(包括雲端):

  • 向SFC通知EDSP的確切名稱和地理位置。
  • 提供EDSP的合規確認書或承諾書(在適用情況下使用SFC模板),確認SFC可以無不當延遲地獲取記錄,且提供商不會對SFC主張保密或法律特權。
  • 任命兩名常駐香港的核心職能主管(MIC) 負責監督資訊系統(通常是IT MIC加上另一相關MIC,如營運或合規,以確保雙重監督)。

最佳實踐建議:

  • 在可行的情况下優先選擇在香港有業務或數據中心的EDSP,或確保合約權利支持SFC快速訪問。
  • 在可能的情況下在香港保留關鍵記錄的同期副本,或設計架構使SFC訪問不受司法管轄區問題阻礙。
  • 記錄您對EDSP安全認證(ISO 27001、SOC 2等)的盡職調查和持續監控計劃。

未能正確處理EDSP要求是問詢查詢的常見來源,並可能延遲批准。

3. 觸發加強IT審查或第三方評估的特殊情況

雖然大多數9號牌申請無需正式外部IT審計,但某些較高風險特徵會引發更深入審查——在某些情況下甚至明確要求第三方驗證。

3.1 虛擬資產(VA)管理

如果您的業務涉及管理具有重大虛擬資產敞口的投資組合或基金,SFC會對託管、密鑰管理和網絡安全施加更高期望。

典型的加強要求包括:

  • 詳細的錢包架構(熱錢包與冷錢包比例、多簽或MPC設置、硬件安全模塊)。
  • 私鑰生成、儲存、備份和恢復程序(強調密鑰盡可能在香港駐留)。
  • 對交易平台/託管人的錢包地址和IP地址白名單控制。
  • 針對託管和交易接口的獨立網絡安全評估或滲透測試(通常期望對託管系統進行源代碼審查)。
  • 穩健的事件響應和區塊鏈分叉處理程序。
  • 自我託管與第三方合格託管人之間的明確政策,以及對這些提供商的持續盡職調查。

即使您的VA敞口低於正式門檻,從第一天起描述可擴展的控制框架也是明智之舉。

3.2 算法交易與量化策略

依賴複雜算法進行訂單生成、執行或投資組合再平衡的公司,會面臨對模型風險和系統完整性的額外審查。

SFC關注領域:

  • 模型開發、驗證、回測和壓力測試文檔。
  • 交易前和交易後控制、頭寸和訂單規模限制、「殺傷開關」以及防胖手指措施。
  • 算法和參數的變更管理和版本控制。
  • 捕獲自動化決策背後理由和參數的審計追蹤。
  • 當系統為定制或對業務至關重要時,對交易引擎的獨立審查或驗證。

3.3 持有客戶資產許可的「大9號牌」與自研系統

尋求持有客戶資產許可(「大」9號牌)並提議使用專有或非標準交易/結算系統的申請人,通常會受到更密切的營運風險評估。

在這種情況下,SFC可能要求:

  • 對系統可靠性、安全控制和營運彈性的獨立第三方測試或評估。
  • 上線部署前進行廣泛並行運行或試點測試的證據。
  • 更強的資本和保險緩衝以緩解營運風險。

4. 透過WINGS的完整9號牌申請流程(目標時間表)

SFC處理持牌法團申請的目標時間為收到完整提交後約15週 。實際上,準備質量會顯著影響問詢輪次數量。

4.1 準備階段(通常1-2個月)

公司與場所

  • 註冊一家香港有限公司,業務範圍適當。
  • 在香港獲得專用、非共享的實體辦公室,對記錄和IT基礎設施有適當安全措施。

人員(關鍵成功因素)

  • 任命至少兩名負責人員(RO) ,其中一名必須是執行董事。RO通常需要3-5年以上相關資產管理經驗,並通過HKSI LE Paper 1和Paper 7或12(或等效考試)。
  • 為所有八大核心職能任命核心職能主管(MIC) ,包括專職IT MIC。對於EDSP/雲端使用,確保兩名常駐香港的MIC監督資訊系統。
  • 準備詳細的簡歷、組織架構圖以及RO/MIC如何投入足夠時間並行使實際監督的說明。

資本要求   快速參考表:

9號牌類別最低實繳股本持續最低速動資金典型用例小型/細9號牌(不持有客戶資產)無10萬港元大多數傳統基金經理大型(持有客戶資產許可)500萬港元300萬港元需要託管靈活性的管理人

文件

  • 全面的《業務計劃書》(策略、目標客戶/AUM、3年財務預測、風險管理框架、營銷計劃、IT與營運部分)。
  • 合規手冊/內部控制政策(涵蓋所有領域,包括IT、網絡安全、BCP、數據保護以及適用時的VA部分)。
  • IT架構圖、數據流程圖、安全政策、BCP/DR測試結果、EDSP詳情及承諾書。

4.2 透過WINGS提交

  • 在SFC WINGS平台註冊。
  • 填寫Form 1(法團)及相關個人表格。
  • 上傳所有支持文件(優先PDF)並支付申請費。
  • 系統現已全面線上化;不完整的提交會很快被退回。

4.3 SFC審查與問詢階段(通常2-3個月)

指定專屬個案主任。預計會有2-4輪書面問詢,涵蓋:

  • 股東/控制人背景及資金來源。
  • 投資策略、風險管理及利益衝突。
  • RO/MIC能力及時間投入。
  • 詳細的IT、網絡安全、BCP及EDSP安排。
  • 財務資源及保險。

及時、專業地回覆,並提供支持證據。高質量的第一輪回覆可顯著減少總處理時間。

4.4 批准與牌照後義務

在滿意後,SFC會發出原則性批准(通常附帶條件),隨後正式批准。您必須隨後:

  • 支付年費。
  • 確保所有開業前條件已滿足(注資、保險、系統上線、員工培訓)。
  • 開始提交定期回報(FRR、經審計賬目等)。
  • 通知SFC任何重大變更,包括重大IT系統變更或網絡安全事件。

5. 為什麼強大的IT合規具有競爭優勢

除了監管必要性外,穩健的IT和網絡安全控制向機構投資者、家族辦公室和配置者發出專業信號,他們會進行營運盡職調查。這些控制可降低昂貴事件發生的可能性,支持可擴展增長,並使您的公司為未來的SFC專題審查或現場檢查做好準備。

6. 常見陷阱及避免方法

  • 提交通用或複製的政策,未反映您的實際系統和流程。
  • 對數據流、異常處理或第三方依賴的文檔不足。
  • 提名缺乏實際權力或(在需要時)無香港居留權的MIC。
  • 忽略或準備不足EDSP/雲端部分。
  • 將BCP/DR視為靜態文件而非經過測試的動態框架。

7. 申請人IT與網絡安全部分Checklist

  • 端到端流程圖,包含系統名稱和控制點
  • 網絡與安全架構圖
  • 加密標準和密鑰管理政策
  • 訪問控制矩陣和MFA實施細節
  • BCP/DR計劃,含RTO/RPO、測試計劃及近期結果
  • EDSP名稱、位置、承諾書/安慰函及雙MIC監督
  • 網絡安全事件響應計劃,含SFC通知程序
  • 針對VA或算法:額外獨立評估報告或模型驗證文檔
  • IT政策與整體合規手冊保持一致

結論與下一步

navigating SFC 9號牌牌照過程——特別是IT和網絡安全維度——需要細緻準備、清晰文檔以及對營運卓越的真正承諾。雖然SFC通常不會要求標準申請進行單獨外部IT審計,但實質審查是徹底的,對差距毫不寬容。

在高質量《業務計劃書》、 realistic IT描述、經過測試的BCP安排以及正確EDSP合規方面提前投入時間的公司,一致體驗到更順暢的問詢階段和更快批准。

重要免責聲明: 本文僅供一般資訊和教育用途,不構成法律、監管或合規建議。監管要求可能變化,每份申請均根據具體事實評估。提交9號牌申請或為受規管活動實施IT系統前,請務必咨詢合格的香港法律顧問、合規顧問及其他專業人士。

常見問題解答(FAQ)

問:標準9號牌申請是否真的需要外部IT審計?   答:大多數情況下不需要。SFC透過您的《業務計劃書》和政策文件進行實質審查。但對於VA策略、複雜算法交易或「大」9號牌的自研系統,通常期望或要求獨立評估。

問:我可以使用AWS、Azure或阿里雲儲存監管記錄嗎?   答:可以,前提是遵守SFC的EDSP通函:通知提供商詳情和位置,獲得所需承諾書,並任命兩名常駐香港的MIC監督資訊系統。

問:整個過程從開始到獲得牌照需要多長時間?   答:準備階段通常需要1-2個月(複雜架構可能更長)。SFC處理目標為完整法團申請提交後15週,實際上從委託到批准總計4-6個月較為常見。

問:我需要多少資本?   答:大多數「小型」9號牌經理(不持有客戶資產)只需維持10萬港元速動資金。「大型」9號牌(持有客戶資產許可)通常要求500萬港元實繳股本及持續300萬港元速動資金。

問:我需要多少名MIC?他們必須在香港嗎?   答:您需要為所有八大核心職能任命MIC。IT職能MIC(以及EDSP監督的第二名MIC)通常應為香港居民,以展示有效的本地監督。

準備好開始您的9號牌之旅了嗎?盡早聘請經驗豐富的香港牌照專家——在IT和合規領域的強大準備,是您在申請過程中回報率最高的投資之一。

Reese Young

Reese Young

Consultant

IT consultant with expertise in enterprise software and cloud migration.

分享:

立即採取行動

將這些洞察轉化為您企業的IT路線圖。

預約15分鐘免費諮詢,與我們的亞太IT專家交流。我們將評估您的現有環境,並在24小時內提供定製化IT發展路線圖。

📋

免費清單

進入大中華區IT部署前必須檢查的10項關鍵事項

PIPL合規、網絡分段、雙語服務台配置等——企業進入中國大陸第一天所需的完整IT準備清單。

獲取清單 →