直指五大问题！券商APP接连“翻车”引监管关注(2)

　　其一，个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。例如，3月14日、5月16日，招商证券在周末系统升级过程中，测试场景尤其是压力测试不够充分，导致交易系统接连发生两次信息系统安全事件。反映出当事机构合规与内控制度不健全或执行不到位。

　　其二，主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。例如，首创证券的上交所报盘程序于去年5月18日发生故障，经排查，事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时，升级包存在逻辑错误，反映出当事机构未有效落实相关办法要求。

　　其三，运维人员操作规范性不足，未能建立有效的权限管理及复核机制。经梳理，有6起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏。

　　其四，移动APP开发管理存在短板，已成为信息系统安全事件易发领域。4月25日，国家计算机病毒应急处理中心通报了13款证券公司移动APP存在隐私不合规行为，涉嫌超范围采集个人隐私信息。反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时，未能同步做好相应的安全管理工作。

　　其五，安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。2021年，3家基金公司接连出现网络安全事件，反映出当事机构网络安全防护能力不足，未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

　　提升技术服务能力

　　对于如何自查整改优化，持续保障信息系统安全稳定运行，监管部门亦从五个方面展开。

　　具体来说，系列措施主要包括：高度重视、加强管理，切实提升系统运维保障能力。强化内部控制和合规管理，稳妥推进系统升级改造。定期开展系统健壮性评估，及时消除风险隐患。严格落实客户信息保护要求，切实维护投资者合法权益。加强容量管理与灾备能力建设，提升应急处突能力。

　　近年来，从监管到全行业，证券期货业对网络安全的重视程度与日俱增。自2017年以来，证券行业对信息技术的投入累计已经超过1100亿元。

　　厦门大学经济学院教授韩乾在接受《国际金融报》记者采访时表示，“在制度不到位的情况下，投入跟产出未必成正比，有规模并不意味着有效率。所以问题的关键还是制度建设。首先，券商内部要严格落实个体责任，形成清晰的奖惩机制。其次，监管应当将重大事故信息及时公开，形成市场化压力和淘汰机制，促使有关机构提升技术服务能力。”