每經(jīng)記者 陳晨    每經(jīng)編輯 肖芮冬    

招商證券短期內(nèi)連續(xù)兩次出現(xiàn)信息系統(tǒng)安全事件后，迅速引發(fā)了監(jiān)管機構(gòu)的高度重視?！睹咳战?jīng)濟新聞》記者獲悉，證監(jiān)會證券基金機構(gòu)監(jiān)管部向各證券公司和基金公司下發(fā)了新一期《機構(gòu)監(jiān)管情況通報》（以下簡稱《通報》），對近一年來，證券基金機構(gòu)發(fā)生的多起信息系統(tǒng)安全事件進行梳理分析，并對反映出的問題進行了總結(jié)。

《通報》稱，下一階段，機構(gòu)部將會同各證監(jiān)局按照“穿透式監(jiān)管、全鏈條問責(zé)”的原則，持續(xù)加大對證券基金經(jīng)營機構(gòu)合規(guī)內(nèi)控與信息技術(shù)管理的監(jiān)督檢查力度，對存在問題的機構(gòu)和負(fù)有責(zé)任的人員實施“雙罰”，并在分類評價中從嚴(yán)處理。同時，密切跟蹤、研究行業(yè)在數(shù)字化轉(zhuǎn)型背景下業(yè)務(wù)與技術(shù)深度融合過程中出現(xiàn)的新情況、新問題，持續(xù)完善相關(guān)監(jiān)管要求。

招商證券連續(xù)兩次交易系統(tǒng)故障被通報

根據(jù)《通報》顯示，近期，多家證券基金經(jīng)營機構(gòu)發(fā)生信息系統(tǒng)安全事件，尤其是招商證券短時間連續(xù)發(fā)生同類事件，影響投資者正常交易，給行業(yè)聲譽造成了負(fù)面影響。

《每日經(jīng)濟新聞》記者了解到，2022年3月14日早間，“招商證券崩了”上了熱搜；當(dāng)日午間時分，招商證券表示，目前正在加緊修復(fù)，問題已經(jīng)有所緩解。系統(tǒng)其他功能正常。3月15日，招商證券發(fā)布集中交易系統(tǒng)故障的情況說明并表示，故障已排除，系統(tǒng)服務(wù)恢復(fù)正常。不過，僅僅過去兩個月，5月16日，招商證券又發(fā)生交易系統(tǒng)登錄異?，F(xiàn)象。

圖片來源：招商證券微信公號及微博截圖

另外，就在招商證券3月14日出現(xiàn)交易系統(tǒng)故障后，深圳證監(jiān)局也對招商證券出具了警示函處罰。深圳證監(jiān)局稱，招商證券在2022年3月14日的網(wǎng)絡(luò)安全事件中，存在變更管理不完善，應(yīng)急處置不及時、不到位等問題。

對于這兩次交易系統(tǒng)故障，《通報》稱，2022年3月14日、5月16日，招商證券在周末系統(tǒng)升級過程中，測試場景尤其是壓力測試不夠充分，導(dǎo)致交易系統(tǒng)接連發(fā)生兩次信息系統(tǒng)安全事件。反映出當(dāng)事機構(gòu)合規(guī)與內(nèi)控制度不健全或執(zhí)行不到位，在系統(tǒng)升級環(huán)節(jié)未能有效制定專項實施方案，內(nèi)部管理存在漏洞，未對變更操作等行為進行審查、確認(rèn)和持續(xù)跟蹤。

此外，《通報》還舉例，2021年5月18日，首創(chuàng)證券的上交所報盤程序發(fā)生故障，經(jīng)排查，事故原因為軟件服務(wù)商工程師對部署在同一服務(wù)器上的資管系統(tǒng)升級時，升級包存在邏輯錯誤，反映出當(dāng)事機構(gòu)未有效落實《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》有關(guān)要求，未能清晰、準(zhǔn)確、完整掌握重要信息系統(tǒng)的技術(shù)架構(gòu)、業(yè)務(wù)邏輯和操作流程等內(nèi)容，并確保重要信息系統(tǒng)運行始終處于自身控制范圍。

移動APP開發(fā)管理存短板為事故易發(fā)領(lǐng)域

除了前述提到的個別公司合規(guī)內(nèi)控管理不到位、主體責(zé)任意識不強等，《通報》稱，近一年來，證券基金機構(gòu)發(fā)生多起信息系統(tǒng)安全事件還暴露出多方面的缺陷。

一是，運維人員操作規(guī)范性不足，未能建立有效的權(quán)限管理及復(fù)核機制。經(jīng)梳理，有6起信息系統(tǒng)安全事件因運維人員操作不規(guī)范引發(fā)。反映出當(dāng)事機構(gòu)在運維工作的流程設(shè)計與監(jiān)督檢查等方面存在疏漏，合規(guī)與風(fēng)險管理未覆蓋信息技術(shù)運用的各個環(huán)節(jié)，在執(zhí)行過程中相關(guān)工作人員未遵循標(biāo)準(zhǔn)作業(yè)流程，安全與合規(guī)意識淡薄。

二是，移動APP開發(fā)管理存在短板，已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。2022年4月25日，國家計算機病毒應(yīng)急處理中心通報了13款證券公司移動APP存在隱私不合規(guī)行為，涉嫌超范圍采集個人隱私信息。經(jīng)排查，相關(guān)機構(gòu)存在移動APP上線審核把關(guān)不嚴(yán)、注銷等部分環(huán)節(jié)處理不徹底、部分條款內(nèi)容表述不嚴(yán)謹(jǐn)?shù)葐栴}。反映出部分行業(yè)機構(gòu)在開展數(shù)字化轉(zhuǎn)型、加大移動APP開發(fā)投入的同時，未能同步做好相應(yīng)的安全管理工作，在設(shè)計開發(fā)、應(yīng)用上架、隱私保護等環(huán)節(jié)把關(guān)不嚴(yán)，存在一定的風(fēng)險隱患。

三是，安全管理存在漏洞，應(yīng)對外部網(wǎng)絡(luò)攻擊或爬蟲程序訪問等網(wǎng)絡(luò)防護能力仍需提升。2022年2月4日、2月14日、2月28日，3家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲程序?qū)е鹿倬W(wǎng)無法訪問的網(wǎng)絡(luò)安全事件，反映出當(dāng)事機構(gòu)網(wǎng)絡(luò)安全防護能力不足，未能在訪問控制、入侵監(jiān)測及防護、病毒防護、網(wǎng)絡(luò)安全等方面建立起全面有效的安全防護體系。

監(jiān)管提出五大方面要求

《通報》顯示，監(jiān)管要求各證券基金經(jīng)營機構(gòu)提高政治站位，對照上述問題，舉一反三，認(rèn)真自查整改，切實落實各項規(guī)定，維護好投資者合法權(quán)益，持續(xù)保障信息系統(tǒng)安全穩(wěn)定運行。

首先，高度重視、加強管理，切實提升系統(tǒng)運維保障能力。一是壓實主體責(zé)任。二是強化安全管理。三是加大技術(shù)保障。

其次，強化內(nèi)部控制和合規(guī)管理，穩(wěn)妥推進系統(tǒng)升級改造。一是明確內(nèi)部責(zé)任分工。二是制定專項實施方案。三是完善系統(tǒng)測試工作，搭建獨立于生產(chǎn)環(huán)境的專用測試環(huán)境，豐富系統(tǒng)升級變更后的測試場景，加強壓力測試。

再次，定期開展系統(tǒng)健壯性評估，及時消除風(fēng)險隱患。一是全面、準(zhǔn)確識別數(shù)字化轉(zhuǎn)型過程中的各類技術(shù)風(fēng)險。二是建立健全信息系統(tǒng)安全監(jiān)測機制。三是定期開展信息技術(shù)管理工作專項審計。

另外，嚴(yán)格落實客戶信息保護要求，切實維護投資者合法權(quán)益。一是完善技術(shù)安全保障措施。二是加強信息系統(tǒng)管理、操作和訪問權(quán)限管理，確保用戶權(quán)限與工作職責(zé)相匹配。三是落實相關(guān)法律法規(guī)要求，加強移動APP管理。

最后，加強容量管理與災(zāi)備能力建設(shè)，提升應(yīng)急處突能力。一是落實系統(tǒng)容量管理及備份能力建設(shè)要求。二是制定并持續(xù)完善應(yīng)急預(yù)案。三是豐富應(yīng)急處置場景，加強“真演實練”。

封面圖片來源：攝圖網(wǎng)_501353830