撰文：Iris

网络安全一直是 Web3 行业的「彻骨之痛」。

根据慢雾安全团队的数据，2025 年 1 月，因为安全事件和钓鱼事件造成的损失就近 1 亿美金，而这仅仅是行业损失的冰山一角。每年因为网络安全问题导致的项目和个人用户损失，多则几十亿，少则十几亿美金。

也因此，Web3 项目的网络安全一直是关键。

2025 年 2 月 6 日，香港证券及期货事务监察委员会（SFC）发布报告《2023/24 年持牌法团网络保安主题检视报告》，其中指出：对持牌公司而言，认识到网络安全不仅仅是信息技术部门的责任至关重要。实际上，持牌公司的高层管理人员在监督和实施强有力的网络安全措施方面扮演了关键角色，以保护其组织免受不断演变的威胁。

那么，Web3 持牌公司应该如何应对网络安全问题？

本篇文章，曼昆律师就来拆解香港证监会的这篇报告，为大家画画重点的同时，也提供一些参考策略。

在以往，我们常常会将项目 / 产品的安全问题归咎于公司的 IT 团队，认为他们才是主要负责人。

然而在香港证监会（SFC）的监管框架下，持牌公司的高层管理层不仅是企业战略决策的核心，更是网络安全合规的第一责任人，需对网络安全失败可能引发的法律责任承担最终责任。SFC 明确指出，以下所有人员均属于高层管理层范畴，并需承担网络安全监管职责：

• 负责官员（Responsible Officers, RO）

• 执行董事与非执行董事（Executive & Non-Executive Directors）

• 核心职能部门负责人（Managers-in-Charge, MIC）

香港 SFC 强调，网络安全不仅仅是 IT 部门的责任，而是公司治理的重要组成部分。因此，高层管理层必须确保公司建立和维护强有力的网络安全管控体系，并在战略层面监督安全措施的执行。这一责任不仅要求管理层具备对网络安全风险的认知，还需要他们确保企业采取适当的措施来降低这些风险，并符合 SFC 的监管要求。

此外，网络安全的合规要求不仅限于技术管控，更涉及企业文化的塑造。企业管理层应当积极推动安全意识培训、建立安全责任制度，并在企业内部营造「网络安全优先」的文化。只有当管理层真正将网络安全视为企业风险管理的重要组成部分，Web3 持牌公司才能在复杂且多变的网络威胁环境中保持安全稳健的运营。

Web3 行业的安全事件层出不穷，然而在这之中，许多攻击的根源并非黑客手法高超，而是持牌公司自身的安全管理缺陷。