券商交易系統(tǒng)頻現(xiàn)故障����,監(jiān)管火速通報(bào):將“穿透式監(jiān)管、全鏈條問責(zé)”,實(shí)施“雙罰”
每日經(jīng)濟(jì)新聞
2022-05-24 17:43:15
◎近期�,多家證券基金經(jīng)營機(jī)構(gòu)發(fā)生信息系統(tǒng)安全事件,影響投資者正常交易�����,引發(fā)監(jiān)管注意����,并向各證券公司和基金公司下發(fā)了新一期《機(jī)構(gòu)監(jiān)管情況通報(bào)》,其中提及將“穿透式監(jiān)管��、全鏈條問責(zé)”���,實(shí)施“雙罰”��。
每經(jīng)記者 陳晨 每經(jīng)編輯 肖芮冬
招商證券短期內(nèi)連續(xù)兩次出現(xiàn)信息系統(tǒng)安全事件后,迅速引發(fā)了監(jiān)管機(jī)構(gòu)的高度重視�����?!睹咳战?jīng)濟(jì)新聞》記者獲悉�,證監(jiān)會(huì)證券基金機(jī)構(gòu)監(jiān)管部向各證券公司和基金公司下發(fā)了新一期《機(jī)構(gòu)監(jiān)管情況通報(bào)》(以下簡稱《通報(bào)》)��,對(duì)近一年來����,證券基金機(jī)構(gòu)發(fā)生的多起信息系統(tǒng)安全事件進(jìn)行梳理分析,并對(duì)反映出的問題進(jìn)行了總結(jié)�����。
《通報(bào)》稱�����,下一階段����,機(jī)構(gòu)部將會(huì)同各證監(jiān)局按照“穿透式監(jiān)管、全鏈條問責(zé)”的原則�,持續(xù)加大對(duì)證券基金經(jīng)營機(jī)構(gòu)合規(guī)內(nèi)控與信息技術(shù)管理的監(jiān)督檢查力度�,對(duì)存在問題的機(jī)構(gòu)和負(fù)有責(zé)任的人員實(shí)施“雙罰”,并在分類評(píng)價(jià)中從嚴(yán)處理�。同時(shí),密切跟蹤�、研究行業(yè)在數(shù)字化轉(zhuǎn)型背景下業(yè)務(wù)與技術(shù)深度融合過程中出現(xiàn)的新情況�、新問題�����,持續(xù)完善相關(guān)監(jiān)管要求����。
招商證券連續(xù)兩次交易系統(tǒng)故障被通報(bào)
根據(jù)《通報(bào)》顯示,近期����,多家證券基金經(jīng)營機(jī)構(gòu)發(fā)生信息系統(tǒng)安全事件,尤其是招商證券短時(shí)間連續(xù)發(fā)生同類事件��,影響投資者正常交易�����,給行業(yè)聲譽(yù)造成了負(fù)面影響�����。
《每日經(jīng)濟(jì)新聞》記者了解到�,2022年3月14日早間,“招商證券崩了”上了熱搜���;當(dāng)日午間時(shí)分���,招商證券表示���,目前正在加緊修復(fù),問題已經(jīng)有所緩解����。系統(tǒng)其他功能正常。3月15日�����,招商證券發(fā)布集中交易系統(tǒng)故障的情況說明并表示����,故障已排除,系統(tǒng)服務(wù)恢復(fù)正常�����。不過�����,僅僅過去兩個(gè)月����,5月16日,招商證券又發(fā)生交易系統(tǒng)登錄異?���,F(xiàn)象。
圖片來源:招商證券微信公號(hào)及微博截圖
另外��,就在招商證券3月14日出現(xiàn)交易系統(tǒng)故障后����,深圳證監(jiān)局也對(duì)招商證券出具了警示函處罰。深圳證監(jiān)局稱�,招商證券在2022年3月14日的網(wǎng)絡(luò)安全事件中,存在變更管理不完善��,應(yīng)急處置不及時(shí)�����、不到位等問題����。
對(duì)于這兩次交易系統(tǒng)故障���,《通報(bào)》稱,2022年3月14日�、5月16日,招商證券在周末系統(tǒng)升級(jí)過程中���,測試場景尤其是壓力測試不夠充分�����,導(dǎo)致交易系統(tǒng)接連發(fā)生兩次信息系統(tǒng)安全事件��。反映出當(dāng)事機(jī)構(gòu)合規(guī)與內(nèi)控制度不健全或執(zhí)行不到位��,在系統(tǒng)升級(jí)環(huán)節(jié)未能有效制定專項(xiàng)實(shí)施方案�,內(nèi)部管理存在漏洞�����,未對(duì)變更操作等行為進(jìn)行審查�、確認(rèn)和持續(xù)跟蹤。
此外����,《通報(bào)》還舉例�����,2021年5月18日,首創(chuàng)證券的上交所報(bào)盤程序發(fā)生故障����,經(jīng)排查,事故原因?yàn)檐浖?wù)商工程師對(duì)部署在同一服務(wù)器上的資管系統(tǒng)升級(jí)時(shí)����,升級(jí)包存在邏輯錯(cuò)誤,反映出當(dāng)事機(jī)構(gòu)未有效落實(shí)《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》有關(guān)要求�����,未能清晰�、準(zhǔn)確、完整掌握重要信息系統(tǒng)的技術(shù)架構(gòu)���、業(yè)務(wù)邏輯和操作流程等內(nèi)容���,并確保重要信息系統(tǒng)運(yùn)行始終處于自身控制范圍。
移動(dòng)APP開發(fā)管理存短板為事故易發(fā)領(lǐng)域
除了前述提到的個(gè)別公司合規(guī)內(nèi)控管理不到位、主體責(zé)任意識(shí)不強(qiáng)等���,《通報(bào)》稱��,近一年來�����,證券基金機(jī)構(gòu)發(fā)生多起信息系統(tǒng)安全事件還暴露出多方面的缺陷���。
一是,運(yùn)維人員操作規(guī)范性不足��,未能建立有效的權(quán)限管理及復(fù)核機(jī)制�����。經(jīng)梳理��,有6起信息系統(tǒng)安全事件因運(yùn)維人員操作不規(guī)范引發(fā)����。反映出當(dāng)事機(jī)構(gòu)在運(yùn)維工作的流程設(shè)計(jì)與監(jiān)督檢查等方面存在疏漏,合規(guī)與風(fēng)險(xiǎn)管理未覆蓋信息技術(shù)運(yùn)用的各個(gè)環(huán)節(jié)��,在執(zhí)行過程中相關(guān)工作人員未遵循標(biāo)準(zhǔn)作業(yè)流程,安全與合規(guī)意識(shí)淡薄���。
二是�,移動(dòng)APP開發(fā)管理存在短板�,已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。2022年4月25日���,國家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)了13款證券公司移動(dòng)APP存在隱私不合規(guī)行為,涉嫌超范圍采集個(gè)人隱私信息�。經(jīng)排查,相關(guān)機(jī)構(gòu)存在移動(dòng)APP上線審核把關(guān)不嚴(yán)��、注銷等部分環(huán)節(jié)處理不徹底����、部分條款內(nèi)容表述不嚴(yán)謹(jǐn)?shù)葐栴}。反映出部分行業(yè)機(jī)構(gòu)在開展數(shù)字化轉(zhuǎn)型����、加大移動(dòng)APP開發(fā)投入的同時(shí),未能同步做好相應(yīng)的安全管理工作���,在設(shè)計(jì)開發(fā)���、應(yīng)用上架�����、隱私保護(hù)等環(huán)節(jié)把關(guān)不嚴(yán)���,存在一定的風(fēng)險(xiǎn)隱患。
三是����,安全管理存在漏洞,應(yīng)對(duì)外部網(wǎng)絡(luò)攻擊或爬蟲程序訪問等網(wǎng)絡(luò)防護(hù)能力仍需提升���。2022年2月4日�、2月14日��、2月28日��,3家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲程序?qū)е鹿倬W(wǎng)無法訪問的網(wǎng)絡(luò)安全事件�����,反映出當(dāng)事機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)能力不足�����,未能在訪問控制、入侵監(jiān)測及防護(hù)����、病毒防護(hù)、網(wǎng)絡(luò)安全等方面建立起全面有效的安全防護(hù)體系����。
監(jiān)管提出五大方面要求
《通報(bào)》顯示,監(jiān)管要求各證券基金經(jīng)營機(jī)構(gòu)提高政治站位��,對(duì)照上述問題��,舉一反三�����,認(rèn)真自查整改�����,切實(shí)落實(shí)各項(xiàng)規(guī)定�����,維護(hù)好投資者合法權(quán)益����,持續(xù)保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。
首先���,高度重視�、加強(qiáng)管理��,切實(shí)提升系統(tǒng)運(yùn)維保障能力����。一是壓實(shí)主體責(zé)任。二是強(qiáng)化安全管理�。三是加大技術(shù)保障。
其次�����,強(qiáng)化內(nèi)部控制和合規(guī)管理��,穩(wěn)妥推進(jìn)系統(tǒng)升級(jí)改造��。一是明確內(nèi)部責(zé)任分工�����。二是制定專項(xiàng)實(shí)施方案。三是完善系統(tǒng)測試工作��,搭建獨(dú)立于生產(chǎn)環(huán)境的專用測試環(huán)境���,豐富系統(tǒng)升級(jí)變更后的測試場景���,加強(qiáng)壓力測試。
再次���,定期開展系統(tǒng)健壯性評(píng)估�����,及時(shí)消除風(fēng)險(xiǎn)隱患。一是全面��、準(zhǔn)確識(shí)別數(shù)字化轉(zhuǎn)型過程中的各類技術(shù)風(fēng)險(xiǎn)��。二是建立健全信息系統(tǒng)安全監(jiān)測機(jī)制�����。三是定期開展信息技術(shù)管理工作專項(xiàng)審計(jì)。
另外����,嚴(yán)格落實(shí)客戶信息保護(hù)要求,切實(shí)維護(hù)投資者合法權(quán)益��。一是完善技術(shù)安全保障措施��。二是加強(qiáng)信息系統(tǒng)管理���、操作和訪問權(quán)限管理�����,確保用戶權(quán)限與工作職責(zé)相匹配��。三是落實(shí)相關(guān)法律法規(guī)要求����,加強(qiáng)移動(dòng)APP管理���。
最后��,加強(qiáng)容量管理與災(zāi)備能力建設(shè)����,提升應(yīng)急處突能力。一是落實(shí)系統(tǒng)容量管理及備份能力建設(shè)要求�����。二是制定并持續(xù)完善應(yīng)急預(yù)案�。三是豐富應(yīng)急處置場景,加強(qiáng)“真演實(shí)練”��。
封面圖片來源:攝圖網(wǎng)_501353830
