未充分評估技術(shù)風(fēng)險��,華寶證券收網(wǎng)絡(luò)安全事件罰單
每日經(jīng)濟新聞
2023-07-25 17:39:11
上海證監(jiān)局稱����,華寶證券在2023年5月22日的網(wǎng)絡(luò)安全事件中存在四方面的違規(guī)行為���,包括變更重要信息系統(tǒng)前未充分評估技術(shù)風(fēng)險��、在事件調(diào)查過程中向上海證監(jiān)局報送的部分?jǐn)?shù)據(jù)不準(zhǔn)確不完整等�。
每經(jīng)記者 陳晨 每經(jīng)編輯 葉峰
近期���,華寶證券收到了警示函����。上海證監(jiān)局稱��,華寶證券在2023年5月22日的網(wǎng)絡(luò)安全事件中存在四方面的違規(guī)行為�,包括變更重要信息系統(tǒng)前未充分評估技術(shù)風(fēng)險、在事件調(diào)查過程中向上海證監(jiān)局報送的部分?jǐn)?shù)據(jù)不準(zhǔn)確不完整等����。值得一提的是��,就在7月13日���,中信證券也因網(wǎng)絡(luò)安全事件收到警示函�����。
券商行業(yè)再增網(wǎng)絡(luò)安全事件罰單
上海證監(jiān)局披露稱�����,經(jīng)查�����,華寶證券在2023年5月22日的網(wǎng)絡(luò)安全事件中��,存在以下問題:
一����、變更重要信息系統(tǒng)前未充分評估技術(shù)風(fēng)險。該行為違反了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》(證監(jiān)會令第218號�,以下簡稱《辦法》)第十五條第一款的規(guī)定。
二����、變更重要信息系統(tǒng)前未制定全面的測試方案。該行為違反了《辦法》第十六條第一款的規(guī)定���。
三�、生產(chǎn)運營過程中未全面記錄業(yè)務(wù)日志和系統(tǒng)日志以確保滿足故障分析需要�����。該行為違反了《辦法》第十八條第二款的規(guī)定。
四����、事件調(diào)查過程中向我局報送的部分?jǐn)?shù)據(jù)不準(zhǔn)確不完整。該行為違反了《辦法》第五十七條的規(guī)定��。
依據(jù)《辦法》第六十二條第二款�����、第七十條的規(guī)定�����,上海證監(jiān)局決定對華寶證券采取出具警示函的監(jiān)督管理措施���。
每經(jīng)記者發(fā)現(xiàn)����,今年5月22日����,早上9點半至10點曾有華寶證券用戶陸續(xù)發(fā)布消息稱����,登不上賬戶�。
事實上�,包括華寶證券在內(nèi),今年以來已有3家券商因網(wǎng)絡(luò)安全事件被罰���。3月31日��,西藏證監(jiān)局對東方財富證券采取責(zé)令改正措施���,原因是東方財富證券在2023年3月21日的網(wǎng)絡(luò)安全事件中,存在信息系統(tǒng)升級論證測試不充分�����、未及時報告網(wǎng)絡(luò)安全事件的問題�。之后是7月13日,深圳證監(jiān)局對中信證券采取了警示函措施���,主要原因是中信證券在2023年6月19日的網(wǎng)絡(luò)安全事件中���,存在機房基礎(chǔ)設(shè)施建設(shè)安全性不足,信息系統(tǒng)設(shè)備可靠性管理疏漏等問題。
信息技術(shù)投入金額排名靠前
記者注意到���,作為一家中小券商����,華寶證券在信息技術(shù)領(lǐng)域其實表現(xiàn)不俗�����。今年3月�,華寶證券披露的招股說明書申報稿中就表示,公司堅持發(fā)力金融科技和信息技術(shù)投入���,在財富管理業(yè)務(wù)����、金融產(chǎn)品研究以及大數(shù)據(jù)建設(shè)方面取得了一定的成效�,順應(yīng)了證券行業(yè)發(fā)展趨勢。根據(jù)《證券公司2021年經(jīng)營業(yè)績排名情況》披露��,公司2021年度信息技術(shù)投入金額為2.70億元�����,在105家參與排名的證券公司中排名第28位�。
其中在APP方面,華寶證券介紹稱����,公司重點打造基于實時行情、實時流式計算引擎的智能條件單交易系統(tǒng)�����,推出的智能交易工具軟件“華寶智投”APP是市場上條件單矩陣較為全面的智能交易軟件����。不過,從本次罰單來看����,華寶證券還有待進一步改進。
近兩年證券基金機構(gòu)發(fā)生多起信息系統(tǒng)安全事件���,監(jiān)管曾分析認(rèn)為�����,這些事件反映出個別公司合規(guī)內(nèi)控管理不到位�����,系統(tǒng)升級改造過程中存在薄弱環(huán)節(jié)�。主體責(zé)任意識不強、履行不力�,未清晰、準(zhǔn)確��、完整掌握外部供應(yīng)商提供軟件的系統(tǒng)架構(gòu)���。運維人員操作規(guī)范性不足����,未能建立有效的權(quán)限管理及復(fù)核機制����。移動APP開發(fā)管理存在短板,已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域��。安全管理存在漏洞�,應(yīng)對外部網(wǎng)絡(luò)攻擊或爬蟲程序訪問等網(wǎng)絡(luò)防護能力仍需提升。
證券行業(yè)網(wǎng)絡(luò)安全事件時有發(fā)生�,因此防范化解網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險迫在眉睫。今年6月���,證券業(yè)協(xié)會印發(fā)《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》�,鼓勵有條件的券商在2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的10%或平均營業(yè)收入的7%����,投入金額較此前征求意見稿中的比例進一步抬升。證券業(yè)協(xié)會也表示�,將加強對證券行業(yè)網(wǎng)絡(luò)和信息安全提升工作的督導(dǎo)。
封面圖片來源:視覺中國-VCG41N1162556855
