实现SFC Type 9 IT审计就绪的4-8周之旅：与Horizon Capital合作的案例分析

为保护保密性，客户名称已匿名化为“Horizon Capital”。本案例研究反映了我们实际采用的方法论以及2026年完成的真实项目。

作为BROCENT的高级IT安全客户经理，我大部分时间都在帮助香港受监管的金融服务机构在技术、治理与合规的交叉领域中前行。很少有项目能比我们最近与Horizon Capital的合作，更能体现务实且范围明确的方案所带来的力量。Horizon Capital是一家正在准备申请SFC Type 9（资产管理）牌照的新成立公募基金管理公司。

Horizon Capital面临着典型的新进入者困境：雄心勃勃的增长计划（预计在24个月内将团队从小型规模扩展至10-20名专业人士）、严格的监管截止日期，以及零独立IT基础设施 的现实。他们目前使用母公司提供的共享办公空间和网络资源。目标非常明确——在不影响时间表或大幅增加成本的情况下，取得积极的IT安全审计结果，以支持其牌照申请。

本文将详细说明我们如何应对这一挑战，为什么我们拒绝了“直接审计共享环境”的路径，以及我们的三阶段蓝图如何在短短4-8周 内交付一个可投入生产、完全可审计的IT基础。

2026年SFC Type 9的IT现实

在深入解决方案之前，有必要了解证券及期货事务监察委员会（SFC）在Type 9牌照申请过程中实际审查的内容。

在商业计划书和内部控制问卷中，申请人必须证明：

核心业务流程（客户 onboarding、交易执行、投资组合管理、结算）与支持这些流程的IT系统之间存在清晰映射。
针对未经授权访问、黑客攻击和数据泄露的强大控制措施，包括加密、访问管理和监控。
已记录的备份和灾难恢复安排，以及经过测试的业务连续性计划。
如果使用云服务或外部数据存储提供商（EDSP）存储监管记录，则需进行适当披露、提供商合规确认函，并任命至少两名香港本地负责经理（MIC）负责相关系统。

SFC并不总是要求标准Type 9申请提交外部IT审计报告。然而，他们会对IT系统、内部控制、数据安全和运营韧性进行实质性审查。在较高风险的情景下（虚拟资产管理超过资产管理规模10%、高频或算法交易系统、或大规模专有交易/结算平台），他们更有可能要求独立第三方评估。

对于像Horizon Capital这样的大多数传统公募基金管理人来说，标准虽然高，但只要IT环境具有清晰边界、文件化所有权以及持续控制有效性的证据，就完全可以达到。这正是许多共享环境设置失败的地方。

Horizon Capital的起点

Horizon Capital作为新法律实体成立，尚未建立任何独立IT基础架构。他们依赖母公司的办公设施、网络以及部分共享服务。团队规模虽小，但预计将快速增长。他们的目标是：在2026年8月底前完成IT设置、框架文件编制和初步合规措施，以支持通过WINGS平台及时提交SFC牌照申请。

直接对 heavily shared 的母公司环境进行安全审计存在重大风险：

审计范围和控制所有权模糊（防火墙规则属于谁？日志属于谁？谁负责整改发现的问题？）。
数据混合会使事件调查和证据完整性复杂化。
可能导致有保留意见的审计结果或漫长的整改，从而延误牌照申请。
随着公司规模扩大，长期成本和复杂性更高。

我们建议不要强行对共享基础设施进行审计。相反，我们提出构建一个轻量级、独立且基础扎实的IT足迹 ——在物理和逻辑上与母公司隔离，同时通过共享母公司数据中心的机架空间、电力和冷却来实现成本优化。

我们推荐的三阶段解决方案

我们将项目分为三个相互关联的阶段，其中阶段1和阶段2 largely 并行执行，从而将从启动到初始运营状态（已发布框架和基本实践运行）的总时间压缩至4-8周 。

阶段1：构建基础IT基础设施（约3周）

目标：建立一个清晰、隔离、可审计的网络和协作基础，具有明确的边界。

交付的关键组件包括：

网络隔离 ：为Horizon Capital建立专用的物理/逻辑网络，使用独立的防火墙、交换机和Wi-Fi接入点。该网络与母公司的生产网络完全隔离，但共享同一数据中心设施（机架空间、电力、冷却），以优化成本和部署速度。
专用互联网线路 ：推荐单独的商业级互联网电路（带宽根据需求确定，通常200-500 Mbps），以避免共享电路在审计或事件调查中带来的复杂性。
核心硬件 ：FortiGate下一代防火墙（按20-50用户规模配置），配备完整的FortiGuard统一威胁防护（UTP）和FortiCare捆绑包。该方案提供企业级入侵防御、杀毒、网页过滤、应用控制和集中日志记录——正是SFC在网络安全和数据保护要求下所期望的多层控制。
企业级Wi-Fi与交换 ：Ubiquiti UniFi企业级PoE交换机和Wi-Fi 6接入点，通过Cloud Key或UniFi OS实现集中远程管理。VLAN支持可实现清晰的网络分段。
邮件、协作与文档管理 ：专门为Horizon Capital配置Microsoft 365 Business Premium租户（自定义域名）。这提供了专业电子邮件、Teams协作、SharePoint/OneDrive（带版本控制、保留策略、数据丢失防护DLP、敏感度标签）、统一审计日志以及Intune设备合规管理——所有这些都是审计证据的关键来源。

实施范围 包括硬件采购与安装、与未来治理框架对齐的基线防火墙策略、M365租户配置与初始安全加固、网络分段、Wi-Fi部署以及用户上线支持。

阶段2：IT管理框架开发（约4周，与阶段1并行）

目标：为Horizon Capital量身定制一套完整的、经董事会批准的IT治理与安全管理框架，符合其规模、风险状况和SFC预期。

框架涵盖：

IT组织与治理 ：角色与职责、RACI矩阵，以及与BROCENT作为主要IT/安全合作伙伴的合作模式。即使对于10-20人的团队，清晰的所有权（谁是IT MIC、谁批准变更、升级路径）对于审计和运营韧性都至关重要。
核心IT政策 ：可接受使用政策、访问控制、密码、远程访问、数据分类与处理等。在母公司已有成熟政策的情况下，我们会进行审查、更新和调整，而不是从零开始——既节省时间，又确保针对Horizon Capital的独立实体进行定制。
IT安全管理框架 ：风险评估方法、资产管理、事件响应与管理、漏洞管理、日志与监控要求、第三方风险监督。
IT运营指南 ：变更管理、备份与恢复、补丁管理、容量管理以及业务连续性考虑。

BROCENT主导整体设计，协调与Horizon Capital管理层的评审周期，促进正式批准，并管理发布流程。

阶段3：常规IT安全实践与合规证据（1-2周，框架批准后启动）

目标：将已批准的框架转化为可重复、可审计的流程，并从第一天起就开始收集证据。

框架正式发布后，我们设计并实施了定期安全管理活动：

每周任务 ：审查关键日志和安全警报、补丁合规状态。
每月任务 ：用户访问审查（尤其是特权账户）、备份验证与测试恢复、账户生命周期维护（45天后清理休眠账户）。
定期/年度任务 ：政策审查与更新、风险评估刷新、渗透测试协调、事件响应桌面演练，以及合规证据包编制。
标准化模板 ：合规证明文件模板和结构化的证据存储库（基于SharePoint），方便Horizon Capital内部团队和未来审计师快速查找所需材料。

我们还引入了BROCENT专有的FINOS Security IT Audit 平台。该平台可自动对Microsoft 365环境（Entra ID、Intune、Microsoft Defender for Endpoint、条件访问策略、应用权限、风险用户、暴露分数）进行持续监控和专业扫描，并自动生成可直接用于审计的证据报告。