监管通报券商、基金信息系统安全事件，招商和首创证券被点名

证券、基金公司频发的信息系统安全事件，引起了监管部门的关注。

澎湃新闻记者获悉，证监会机构部近日下发《机构监管情况通报》（下称《通报》），就近期行业存在的信息系统安全事件情况进行专门通报，供全行业借鉴，招商证券（600999.SH、06099.HK）和首创证券作为典型案例被点名批评。

《通报》开头便提到，近期，多家证券基金经营机构发生信息系统安全事件，尤其是招商证券短时间连续发生同类事件，影响投资者正常交易，给行业声誉造成了负面影响。监管部门将依法开展调查工作，严肃处理相关机构及责任人员。

下一阶段，证监会机构部将会同各证监局按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。同时，密切跟踪、研究行业在数字化转型背景下业务与技术深度融合过程中出现的新情况、新问题，持续完善相关监管要求。

五方面问题突出，存在薄弱环节

针对近一年来证券基金机构发生的多起信息系统安全事件，《通报》分析指出，主要反映五方面问题。

第一个问题是，个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。

《通报》提及，2022年3月14日、5月16日，招商证券在周末系统升级过程中，测试场景尤其是压力测试不够充分，导致交易系统接连发生两次信息系统安全事件。反映出当事机构合规与内控制度不健全或执行不到位，在系统升级环节未能有效制定专项实施方案，内部管理存在漏洞，未对变更操作等行为进行审查、确认和持续跟踪。

第二个问题是，主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。

《通报》指出，2021年5月18日，首创证券的上交所报盘程序发生故障，经排查，事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时，升级包存在逻辑错误，反映出当事机构未有效落实《证券基金经营机构信息技术管理办法》有关要求，未能清晰、准确、完整掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，并确保重要信息系统运行始终处于自身控制范围。

第三个问题是，运维人员操作规范性不足，未能建立有效的权限管理及复核机制。

经梳理，《通报》表示，有6起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏，合规与风险管理未覆盖信息技术运用的各个环节，在执行过程中相关工作人员未遵循标准作业流程，安全与合规意识淡薄。

第四个问题是，移动APP开发管理存在短板，已成为信息系统安全事件易发领域。

《通报》提到，2022年4月25日，国家计算机病毒应急处理中心通报了13款证券公司移动APP存在隐私不合规行为，涉嫌超范围采集个人隐私信息。经排查，相关机构存在移动APP上线审核把关不严、注销等部分环节处理不彻底、部分条款内容表述不严谨等问题。反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时，未能同步做好相应的安全管理工作，在设计开发、应用上架、隐私保护等环节把关不严，存在一定的风险隐患。

第五个问题是，安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

《通报》指出，2022年2月4日、2月14日、2月28日，3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件，反映出当事机构网络安全防护能力不足，未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

五方面强化监管要求，强化内控和合规管理

针对上述问题，《通报》要求，各证券基金经营机构对照问题，举一反三，认真自查整改，切实落实各项规定，维护好投资者合法权益，持续保障信息系统安全稳定运行。

具体来看，监管提出五方面要求：

第一，高度重视、加强管理，切实提升系统运维保障能力。一是压实主体责任。健全信息技术管理体系和处罚问责机制，督促公司“一把手”、首席信息官和关键技术岗位人员时刻绷紧信息系统安全这根弦，切实履职尽责，抓好机构安全运营。二是强化安全管理。完善公司内部安全运营的制度措施，细化新业务、新产品上线涉及系统升级改造、定期安全评估、风险排查、应急演练等方面的操作流程，健全安全复核校验机制，确保安全管理措施可实施、可回溯、可验证。三是加大技术保障。结合当前疫情防控形势，加大信息技术投入，提升技术人员业务能力保持核心技术人员稳定，做好应急值守安排，切实做好系统安全运行保障工作。

第二，强化内部控制和合规管理，稳妥推进系统升级改造。一是明确内部责任分工。在信息技术部门牵头相关工作的基础上，将信息安全风险纳入全面风险管理体系，发挥合规、风控等部门对信息安全风险的管控作用，形成相互监督、相互制约的工作机制。二是制定专项实施方案，充分验证流程设计、功能设置、参数配置等相关内容，审慎开展涉及交易等核心业务环节的重要信息系统升级工作。三是完善系统测试工作，搭建独立于生产环境的专用测试环境，丰富系统升级变更后的测试场景，加强压力测试。

第三，定期开展系统健壮性评估，及时消除风险隐患。一是全面、准确识别数字化转型过程中的各类技术风险，确保合规与风险管理覆盖信息技术运用的各个环节。二是建立健全信息系统安全监测机制，设定监测指标并持续监测重要信息系统的运行状况。三是定期开展信息技术管理工作专项审计，深入排查信息系统架构问题及技术风险隐患，并根据审计排查情况及时整改。

第四，严格落实客户信息保护要求，切实维护投资者合法权益。一是完善技术安全保障措施，包括但不限于网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、病毒防范和非法入侵监测等，保护数据安全，防范信息泄露与损毁。二是加强信息系统管理、操作和访问权限管理，确保用户权限与工作职责相匹配。三是落实相关法律法规要求，加强移动APP管理，完善发布前的审核检测机制，持续监督信息技术服务机构等外部机构保密协议履行情况，避免因合作机构管理不当导致投资者信息外泄。

第五，加强容量管理与灾备能力建设，提升应急处突能力。一是落实系统容量管理及备份能力建设要求，结合公司发展战略、业务规模等因素定期对重要信息系统开展压力测试，确保其容量满足业务开展需要。二是制定并持续完善应急预案，根据应急预案定期组织关键岗位人员开展应急演练。三是丰富应急处置场景，加强“真演实练”，定期梳理总结演练发现的问题，健全应急处置机制。