香港SFC 9号牌（资产管理）申请指南：IT系统、网络安全与合规要求（2026版）

在香港充满活力的金融服务业中，获得证券及期货事务监察委员会（SFC）的9号牌照（资产管理）是希望从事资产管理活动的公司的重大里程碑。无论您是为高净值个人、机构投资者管理投资组合，还是推出基金，9号受规管活动——“资产管理”——允许您提供酌情管理服务和管理集体投资计划。

然而，在当今数字时代，网络威胁不断升级，运营弹性至关重要，SFC对您的信息技术（IT）系统、网络安全措施和业务连续性能力（BCP）的重视，是牌照审批中最实质性的部分之一。

重要的是，对于大多数标准的9号牌申请，SFC通常不需要 申请人提交独立的第三方IT审计报告。相反，证监会会对您的IT架构、内部控制和风险管理框架进行严格的综合实质审查。这种综合方法意味着您在《业务计划书》和《内部控制问卷》中的IT描述必须详尽、准确，并展示出成熟的运营设置。

本指南将SFC当前期望（包括牌照实践、2019年外部数据存储通函、网络安全专题审查以及虚拟资产特定条件）转化为可操作的见解。无论您是传统基金经理、量化驱动公司，还是计划涉及虚拟资产敞口，都能了解需要准备什么、何时会触发加强审查，以及如何通过WINGS平台在目标15周内完成审批。

1. SFC对IT治理在9号牌牌照中的整体方法

SFC的主要关注点是投资者保护 和市场诚信 。IT系统不是孤立看待的，而是支持准确订单执行、可靠投资组合估值、及时报告、职责分离以及从中断中快速恢复的支柱。

由于大多数9号牌申请人并不运营高量零售交易平台，SFC通常不会在申请阶段要求单独的正式外部IT审计。然而，这并不意味着审查较轻。个案主任会审查：

您的IT环境如何支持《业务计划书》中描述的端到端业务流程。
网络安全控制、加密标准、访问管理和监控的充分性。
备份和灾难恢复安排的稳健性和测试状态。
记录保存义务的合规性，特别是使用云服务或外部数据存储提供商（EDSP）时。

IT文档中的缺陷是导致问询轮次延长的最常见原因之一。准备充分的IT部分可以显著缩短整体审批时间。

2. 核心IT审查要求（几乎每份申请都必须说明）

您必须在提交材料中说明以下四个支柱。这些不是可选的，而是SFC评估您运营适合性的基础。

2.1 业务流程与IT系统整合

SFC官员希望看到您的运营工作流程与执行或记录这些流程的技术之间有清晰、准确的映射。

需要提供的内容：

详细的流程图（或泳道图），涵盖客户开户（包括KYC/AML整合）、订单下达与执行、投资组合再平衡与管理、交易捕获与结算、对账、NAV计算、客户报告以及监管提交。
每个阶段使用的具体IT系统说明（如订单管理系统、投资组合管理系统、会计/ERP、对账工具、数据仓库）。
直通处理（STP）率、手动干预点、自动验证与对账控制以及审计追踪完整性的说明。
系统如何强制职责分离并防止未经授权更改静态数据（如费用表、交易对手名单）。

实用提示： 同时提供高层架构图和更细粒度的数据流图。提及与托管人、主经纪商或行政管理人的任何整合，以及异常如何升级和解决。诸如“我们使用稳健系统”这样的模糊表述会引发后续问题。

2.2 网络安全与数据加密

网络安全是SFC的持续优先事项，由专题审查和《操守准则》期望 reinforced。

需要展示的关键领域：

具有分层防御的网络架构（防火墙、入侵检测/预防、相关Web应用防火墙）。
加密标准：传输中使用TLS 1.2或更高版本；敏感数据静态存储使用AES-256（或等效）。
身份与访问管理：基于角色的访问控制（RBAC）、所有远程和特权访问的多因素认证（MFA）、定期访问审查和再认证。
端点保护、补丁管理流程和漏洞管理计划。
日志记录、监控和安全信息与事件管理（SIEM）能力，以及异常的明确升级路径。
事件响应计划，包括重大事件及时通知SFC。

即使在牌照阶段没有强制外部渗透测试，描述您的内部测试节奏、补救流程以及任何近期独立评估，也会增强可信度。

2.3 备份与灾难恢复（BCP/DR）

SFC期望持牌公司保持与其业务性质、规模和复杂性相称的运营弹性。

基本要素：

记录的业务连续性计划（BCP）和灾难恢复计划（DRP），为关键功能明确定义恢复时间目标（RTO） 和恢复点目标（RPO） （例如，投资组合管理和交易系统的RTO ≤ 4小时、RPO ≤ 1小时是常见做法）。
遵循3-2-1原则（或更好）的备份策略，并定期测试（至少每年一次，包括可行的完整DR故障转移测试）。
主站点和恢复站点的地理分离（避免同一建筑、园区或电网等单点故障）。
替代通信渠道、手动变通程序以及危机期间的明确职责。
与第三方依赖方（行政管理人、托管人、云提供商）的整合以及这些接口的测试。

SFC官员经常要求提供近期BCP/DR测试结果和经验教训的证据。

2.4 外部数据存储提供商（EDSP）与云合规

许多申请人现在使用公共云服务（AWS、Azure、Google Cloud、阿里云、腾讯云）以实现成本效益和可扩展性。SFC 2019年外部电子数据存储通函设定了明确期望。

如果您将监管记录专门存储在EDSP（包括云）：

向SFC通知EDSP的确切名称和地理位置。
提供EDSP的合规确认书或承诺书（在适用情况下使用SFC模板），确认SFC可以无不当延迟地获取记录，且提供商不会对SFC主张保密或法律特权。
任命两名常驻香港的核心职能主管（MIC） 负责监督信息系统（通常是IT MIC加上另一相关MIC，如运营或合规，以确保双重监督）。

最佳实践建议：

在可行的情况下优先选择在香港有业务或数据中心的EDSP，或确保合同权利支持SFC快速访问。
在可能的情况下在香港保留关键记录的同期副本，或设计架构使SFC访问不受司法管辖区问题阻碍。
记录您对EDSP安全认证（ISO 27001、SOC 2等）的尽职调查和持续监控计划。

未能正确处理EDSP要求是问询查询的常见来源，并可能延迟批准。

3. 触发加强IT审查或第三方评估的特殊情况

虽然大多数9号牌申请无需正式外部IT审计，但某些较高风险特征会引发更深入审查——在某些情况下甚至明确要求第三方验证。

3.1 虚拟资产（VA）管理

如果您的业务涉及管理具有重大虚拟资产敞口的投资组合或基金，SFC会对托管、密钥管理和网络安全施加更高期望。

典型的加强要求包括：

详细的钱包架构（热钱包与冷钱包比例、多签或MPC设置、硬件安全模块）。
私钥生成、存储、备份和恢复程序（强调密钥尽可能在香港驻留）。
对交易平台/托管人的钱包地址和IP地址白名单控制。
针对托管和交易接口的独立网络安全评估或渗透测试（通常期望对托管系统进行源代码审查）。
稳健的事件响应和区块链分叉处理程序。
自我托管与第三方合格托管人之间的明确政策，以及对这些提供商的持续尽职调查。

即使您的VA敞口低于正式门槛，从第一天起描述可扩展的控制框架也是明智之举。

3.2 算法交易与量化策略

依赖复杂算法进行订单生成、执行或投资组合再平衡的公司，会面临对模型风险和系统完整性的额外审查。

SFC关注领域：

模型开发、验证、回测和压力测试文档。
交易前和交易后控制、头寸和订单规模限制、“杀伤开关”以及防胖手指措施。
算法和参数的变更管理和版本控制。
捕获自动化决策背后理由和参数的审计追踪。
当系统为定制或对业务至关重要时，对交易引擎的独立审查或验证。

3.3 持有客户资产许可的“大9号牌”与自研系统

寻求持有客户资产许可（“大”9号牌）并提议使用专有或非标准交易/结算系统的申请人，通常会受到更密切的运营风险评估。

在这种情况下，SFC可能要求：

对系统可靠性、安全控制和运营弹性的独立第三方测试或评估。
上线部署前进行广泛并行运行或试点测试的证据。
更强的资本和保险缓冲以缓解运营风险。

4. 通过WINGS的完整9号牌申请流程（目标时间表）

SFC处理持牌法团申请的目标时间为收到完整提交后约15周 。实际上，准备质量会显著影响问询轮次数量。

4.1 准备阶段（通常1-2个月）

公司与场所

注册一家香港有限公司，业务范围适当。
在香港获得专用、非共享的实体办公室，对记录和IT基础设施有适当安全措施。

人员（关键成功因素）

任命至少两名负责人员（RO） ，其中一名必须是执行董事。RO通常需要3-5年以上相关资产管理经验，并通过HKSI LE Paper 1和Paper 7或12（或等效考试）。
为所有八大核心职能任命核心职能主管（MIC） ，包括专职IT MIC。对于EDSP/云使用，确保两名常驻香港的MIC监督信息系统。
准备详细的简历、组织架构图以及RO/MIC如何投入足够时间并行使实际监督的说明。

资本要求 快速参考表：

9号牌类别最低实缴股本持续最低速动资金典型用例小型/细9号牌（不持有客户资产）无10万港元大多数传统基金经理大型（持有客户资产许可）500万港元300万港元需要托管灵活性的管理人

文件