太罕见!千亿券商交易系统竟连“崩”两次!监管通报来了(2)
剑指信息系统安全事件
监管揭示五大原因
记者获悉,针对频频发生的交易系统故障事件,证券基金机构监管部在新一期的《机构监管情况通报》中专门通报了相关信息系统安全事件案例,供全行业借鉴。
通报指出,近期,多家证券基金经营机构发生信息系统安全事件,尤其是招商证券短时间连续发生同类事件,影响投资者正常交易,给行业声誉造成了负面影响。监管部门将依法开展调查工作,严肃处理相关机构及责任人员。
对于事件主要类型及反映出的问题,监管部门从五大方面进行了具体分析。其一,个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节。
通报以招商证券为例指出,2022 年 3 月 14 日、5 月 16 日,招商证券在周末系统升级过程中,测试场景尤其是压力测试不够充分,导致交易系统接连发生两次信息系统安全事件。反映出当事机构合规与内控制度不健全或执行不到位。
其二,主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构。
例如,首创证券的上交所报盘程序于去年5月18日发生故障,经排查,事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时,升级包存在逻辑错误,反映出当事机构未有效落实相关办法要求。
其三,运维人员操作规范性不足,未能建立有效的权限管理及复核机制。经梳理,有 6 起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏。
其四,移动 APP 开发管理存在短板,已成为信息系统安全事件易发领域。2022 年 4 月 25 日,国家计算机病毒应急处理中心通报了 13 款证券公司移动 APP 存在隐私不合规行为,涉嫌超范围采集个人隐私信息。反映出部分行业机构在开展数字化转型、加大移动 APP 开发投入的同时,未能同步做好相应的安全管理工作。
其五,安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。
监管举例称,去年3 家基金公司接连出现网络安全事件,反映出当事机构网络安全防护能力不足,未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。
监管列明五大要求
持续加大信息技术管理监察力度
在通报中,监管部门同样列明要求。通报指出,2022 年是党的二十大胜利召开之年,也是资本市场全面深化改革的关键之年。请各证券基金经营机构对照上述问题,举一反三,认真自查整改,维护好投资者合法权益,持续保障信息系统安全稳定运行。