每日經(jīng)濟新聞 2022-05-24 17:43:15
◎近期,多家證券基金經(jīng)營機構(gòu)發(fā)生信息系統(tǒng)安全事件,影響投資者正常交易,引發(fā)監(jiān)管注意,并向各證券公司和基金公司下發(fā)了新一期《機構(gòu)監(jiān)管情況通報》,其中提及將“穿透式監(jiān)管、全鏈條問責(zé)”,實施“雙罰”。
每經(jīng)記者 陳晨 每經(jīng)編輯 肖芮冬
招商證券短期內(nèi)連續(xù)兩次出現(xiàn)信息系統(tǒng)安全事件后,迅速引發(fā)了監(jiān)管機構(gòu)的高度重視?!睹咳战?jīng)濟新聞》記者獲悉,證監(jiān)會證券基金機構(gòu)監(jiān)管部向各證券公司和基金公司下發(fā)了新一期《機構(gòu)監(jiān)管情況通報》(以下簡稱《通報》),對近一年來,證券基金機構(gòu)發(fā)生的多起信息系統(tǒng)安全事件進行梳理分析,并對反映出的問題進行了總結(jié)。
《通報》稱,下一階段,機構(gòu)部將會同各證監(jiān)局按照“穿透式監(jiān)管、全鏈條問責(zé)”的原則,持續(xù)加大對證券基金經(jīng)營機構(gòu)合規(guī)內(nèi)控與信息技術(shù)管理的監(jiān)督檢查力度,對存在問題的機構(gòu)和負有責(zé)任的人員實施“雙罰”,并在分類評價中從嚴處理。同時,密切跟蹤、研究行業(yè)在數(shù)字化轉(zhuǎn)型背景下業(yè)務(wù)與技術(shù)深度融合過程中出現(xiàn)的新情況、新問題,持續(xù)完善相關(guān)監(jiān)管要求。
根據(jù)《通報》顯示,近期,多家證券基金經(jīng)營機構(gòu)發(fā)生信息系統(tǒng)安全事件,尤其是招商證券短時間連續(xù)發(fā)生同類事件,影響投資者正常交易,給行業(yè)聲譽造成了負面影響。
《每日經(jīng)濟新聞》記者了解到,2022年3月14日早間,“招商證券崩了”上了熱搜;當日午間時分,招商證券表示,目前正在加緊修復(fù),問題已經(jīng)有所緩解。系統(tǒng)其他功能正常。3月15日,招商證券發(fā)布集中交易系統(tǒng)故障的情況說明并表示,故障已排除,系統(tǒng)服務(wù)恢復(fù)正常。不過,僅僅過去兩個月,5月16日,招商證券又發(fā)生交易系統(tǒng)登錄異?,F(xiàn)象。
另外,就在招商證券3月14日出現(xiàn)交易系統(tǒng)故障后,深圳證監(jiān)局也對招商證券出具了警示函處罰。深圳證監(jiān)局稱,招商證券在2022年3月14日的網(wǎng)絡(luò)安全事件中,存在變更管理不完善,應(yīng)急處置不及時、不到位等問題。
對于這兩次交易系統(tǒng)故障,《通報》稱,2022年3月14日、5月16日,招商證券在周末系統(tǒng)升級過程中,測試場景尤其是壓力測試不夠充分,導(dǎo)致交易系統(tǒng)接連發(fā)生兩次信息系統(tǒng)安全事件。反映出當事機構(gòu)合規(guī)與內(nèi)控制度不健全或執(zhí)行不到位,在系統(tǒng)升級環(huán)節(jié)未能有效制定專項實施方案,內(nèi)部管理存在漏洞,未對變更操作等行為進行審查、確認和持續(xù)跟蹤。
此外,《通報》還舉例,2021年5月18日,首創(chuàng)證券的上交所報盤程序發(fā)生故障,經(jīng)排查,事故原因為軟件服務(wù)商工程師對部署在同一服務(wù)器上的資管系統(tǒng)升級時,升級包存在邏輯錯誤,反映出當事機構(gòu)未有效落實《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》有關(guān)要求,未能清晰、準確、完整掌握重要信息系統(tǒng)的技術(shù)架構(gòu)、業(yè)務(wù)邏輯和操作流程等內(nèi)容,并確保重要信息系統(tǒng)運行始終處于自身控制范圍。
除了前述提到的個別公司合規(guī)內(nèi)控管理不到位、主體責(zé)任意識不強等,《通報》稱,近一年來,證券基金機構(gòu)發(fā)生多起信息系統(tǒng)安全事件還暴露出多方面的缺陷。
一是,運維人員操作規(guī)范性不足,未能建立有效的權(quán)限管理及復(fù)核機制。經(jīng)梳理,有6起信息系統(tǒng)安全事件因運維人員操作不規(guī)范引發(fā)。反映出當事機構(gòu)在運維工作的流程設(shè)計與監(jiān)督檢查等方面存在疏漏,合規(guī)與風(fēng)險管理未覆蓋信息技術(shù)運用的各個環(huán)節(jié),在執(zhí)行過程中相關(guān)工作人員未遵循標準作業(yè)流程,安全與合規(guī)意識淡薄。
二是,移動APP開發(fā)管理存在短板,已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。2022年4月25日,國家計算機病毒應(yīng)急處理中心通報了13款證券公司移動APP存在隱私不合規(guī)行為,涉嫌超范圍采集個人隱私信息。經(jīng)排查,相關(guān)機構(gòu)存在移動APP上線審核把關(guān)不嚴、注銷等部分環(huán)節(jié)處理不徹底、部分條款內(nèi)容表述不嚴謹?shù)葐栴}。反映出部分行業(yè)機構(gòu)在開展數(shù)字化轉(zhuǎn)型、加大移動APP開發(fā)投入的同時,未能同步做好相應(yīng)的安全管理工作,在設(shè)計開發(fā)、應(yīng)用上架、隱私保護等環(huán)節(jié)把關(guān)不嚴,存在一定的風(fēng)險隱患。
三是,安全管理存在漏洞,應(yīng)對外部網(wǎng)絡(luò)攻擊或爬蟲程序訪問等網(wǎng)絡(luò)防護能力仍需提升。2022年2月4日、2月14日、2月28日,3家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲程序?qū)е鹿倬W(wǎng)無法訪問的網(wǎng)絡(luò)安全事件,反映出當事機構(gòu)網(wǎng)絡(luò)安全防護能力不足,未能在訪問控制、入侵監(jiān)測及防護、病毒防護、網(wǎng)絡(luò)安全等方面建立起全面有效的安全防護體系。
《通報》顯示,監(jiān)管要求各證券基金經(jīng)營機構(gòu)提高政治站位,對照上述問題,舉一反三,認真自查整改,切實落實各項規(guī)定,維護好投資者合法權(quán)益,持續(xù)保障信息系統(tǒng)安全穩(wěn)定運行。
首先,高度重視、加強管理,切實提升系統(tǒng)運維保障能力。一是壓實主體責(zé)任。二是強化安全管理。三是加大技術(shù)保障。
其次,強化內(nèi)部控制和合規(guī)管理,穩(wěn)妥推進系統(tǒng)升級改造。一是明確內(nèi)部責(zé)任分工。二是制定專項實施方案。三是完善系統(tǒng)測試工作,搭建獨立于生產(chǎn)環(huán)境的專用測試環(huán)境,豐富系統(tǒng)升級變更后的測試場景,加強壓力測試。
再次,定期開展系統(tǒng)健壯性評估,及時消除風(fēng)險隱患。一是全面、準確識別數(shù)字化轉(zhuǎn)型過程中的各類技術(shù)風(fēng)險。二是建立健全信息系統(tǒng)安全監(jiān)測機制。三是定期開展信息技術(shù)管理工作專項審計。
另外,嚴格落實客戶信息保護要求,切實維護投資者合法權(quán)益。一是完善技術(shù)安全保障措施。二是加強信息系統(tǒng)管理、操作和訪問權(quán)限管理,確保用戶權(quán)限與工作職責(zé)相匹配。三是落實相關(guān)法律法規(guī)要求,加強移動APP管理。
最后,加強容量管理與災(zāi)備能力建設(shè),提升應(yīng)急處突能力。一是落實系統(tǒng)容量管理及備份能力建設(shè)要求。二是制定并持續(xù)完善應(yīng)急預(yù)案。三是豐富應(yīng)急處置場景,加強“真演實練”。
封面圖片來源:攝圖網(wǎng)_501353830
如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP