张燕北 证券时报
深圳最大的证券公司招商证券连续两次出现交易系统故障,引起了业内外的高度关注。近年来,证券公司和基金公司发生了许多信息系统安全事件。据了解,监管机构最近发布了一份机构监管通知,专门通知了相关信息系统安全事件案例。
公司内部控制管理、系统架构掌握、运维人员、移动App分析了证券基金机构发生多起信息系统安全事件的原因。同时,监管明确了五项要求,以确保信息系统的安全稳定运行。
业内人士表示,为了避免相关隐患,证券基金运营商应建立完善的监控体系,尽量避免人为操作风险,注重提高应急能力,保持交易体系的安全稳定。
信息系统安全事件频频发生
近日,有投资者在网上反映,招商证券PC端与App端系统无法登录,导致交易异常。
巧合的是,同一天,华西证券交易系统也在早盘出现故障,导致无法交易。尽管相关情况在早盘收盘前得到了解决,但许多投资者直言不讳地表示,交易系统经济损失。
这不是招商证券第一次系统异常,最后一个问题是今年3月14日,距离今天才两个月。
此前,3月14日,招商证券交易系统出现交易页面无法交易,无法撤回 等系统故障。据投资者介绍,故障持续30分钟。
招商证券回应说:集中交易系统的所有交易委托都已实时传输到交易所系统,但由于交易回报处理延迟,一些客户没有及时收到客户端的交易回报信息,退出交易受到影响。
两个月停机两次对于招商证券等1000亿元的龙头证券公司来说是极其罕见的。对此,4月2日,深圳证监会宣布,招商证券在3月14日网络安全事件中存在变更管理不完善、应急处置不及时、不到位等问题,决定责令改正。
深圳证券监督管理局强调,上述整改工作应在3个月内完成,并向深圳证券监督管理局提交整改报告。然而,当时没有预料到的是,三个月的整改期还没有到来,投资证券体系再次出现异常。
此外,国信证券的交易系统也在3月15日出现故障。当时,一些投资者报告说,国信证券交易软件市场无法刷新,无法看到市场和交易。
值得一提的是,类似的信息系统故障和安全事件不仅发生在证券公司。2022年 2 4 日、2 14日、2 28 日,3 基金管理公司因感染病毒或爬虫程序无法访问官方网站。
剑剑指信息系统安全事件
监管揭示了五个原因
记者获悉,鉴于交易系统故障事件频发,证券基金机构监管部门在新一期《机构监管通知》中专门通知了相关信息系统安全事件案例,供全行业参考。
通知指出,近年来,许多证券基金运营商发生了信息系统安全事件,特别是招商证券短期持续类似事件,影响了投资者的正常交易,对行业声誉产生了负面影响。监管机构将依法进行调查,认真处理有关机构和责任人员。
对于事件主要类型及反映出的问题,监管部门从五大方面进行了具体分析。其一,个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节。
以招商证券为例,招商证券在周末系统升级过程中,测试场景,特别是压力测试不足,导致交易系统连续两起信息系统安全事件。反映了当事人的合规性和内部控制制度不完善或执行不到位。
二是对外部供应商提供软件的系统,对外部供应商提供软件的系统架构没有明确、准确、完整的把握。
例如,第一证券上海证券交易所的报告程序于去年5月18日出现故障。经调查,事故原因是软件服务提供商工程师在升级部署在同一服务器上的资产管理系统时存在逻辑错误,反映了当事人未能有效实施相关措施的要求。
其三,运维人员操作规范性不足,未能建立有效的权限管理及复核机制。经梳理,有 6 起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏。
四、移动 APP 开发管理存在不足,已成为信息系统安全事件的易发领域。2022年4月25日,国家计算机病毒应急处理中心通知 13 证券公司移动 APP 存在隐私不合规行为,涉嫌超范围收集个人隐私信息。这反映出一些行业机构正在进行数字化转型,增加移动 APP 在开发投资的同时,未能同时做好相应的安全管理。
第五,安全管理存在漏洞,仍需提高网络防护能力,如外部网络攻击或爬虫程序访问。
例如,去年,3 基金公司发生了网络安全事件,反映了机构缺乏网络安全保护能力,未能在访问控制、入侵监测保护、病毒保护、网络安全等方面建立全面有效的安全保护体系。
监督列出了五个要求
继续加强对信息技术管理的监督
在通知中,监管机构也列出了要求。通知指出,2022年 年是中共20届全国代表大会成功召开的一年,也是全面深化资本市场改革的关键一年。请各证券基金经营机构比较上述问题,从一个例子中得出推论,认真自查整改,维护投资者的合法权益,继续确保信息系统的安全稳定运行。
首先,高度重视和加强管理,有效提高系统的运行和维护能力。首先,巩固主要责任。完善信息技术管理体系和处罚问责机制,督促公司领导、首席信息官和关键技术岗位人员始终加强信息系统安全,认真履行职责,做好机构安全运行。
二是加强安全管理。三是加大技术保障。结合当前疫情防控形势,加大信息技术投入,提高技术人员业务能力,保持核心技术人员稳定,做好应急值班安排。
二是加强内部控制和合规管理,稳步推进系统升级。一是明确内部责任分工。二是制定专项实施计划,充分验证流程设计、功能设置、参数配置等相关内容,认真升级涉及交易等核心业务环节的重要信息系统。三是完善系统测试,加强压力测试。
三是定期进行系统健康评估,及时消除隐患。一是全面准确地识别数字化转型过程中的各种技术风险,确保合规性和风险管理涵盖信息技术应用的各个环节。
二是建立健全信息系统安全监控机制。三是定期开展信息技术管理专项审计,深入调查信息系统架构和技术风险,及时整改。
第四,严格执行客户信息保护要求,有效维护投资者的合法权益。一是完善技术安全措施,二是加强信息系统管理,三是落实相关法律法规要求,加强移动 APP 管理。
第五,加强容量管理和灾难准备能力建设,提高应急响应能力。一是落实系统容量管理和备份能力建设要求,结合公司发展战略、业务规模等因素,定期对重要信息系统进行压力测试,确保其容量满足业务发展需要。二是制定并不断完善应急预案,三是丰富应急响应场景。
下一阶段,机构部会同证监会按照渗透监管、全链问责的原则,继续加强对证券基金经营机构合规内部控制和信息技术管理的监督检查,对存在问题的机构和负责人实施双重处罚,并在分类评价中严格处理。
系统建设安全信息系统
事实上,证券基金行业已经进入了信息化建设和业务同步发展的阶段,机构的正常运与数据资产的支持密不可分,包括客户信息、交易数据和各种重要数据。
自2017年以来,证券业对信息技术的投资已超过1100亿元,但证券业的数字化转型还有很长的路要走。
恒泰证券相关业务负责人认为,现阶段数字化转型的路线和相对清晰,但在转型过程中,或多或少会遇到与现有企业文化、技术平台、组织结构、投入产出相关的问题。
从上到下,我们需要保持战略集中,确保数字战略的实施;从下到上,我们应该选择符合企业自身禀赋的实施路径,先做什么,多做什么,少做什么,而不是盲目模仿同行业走出成功的数字转型之路。
上海证券金融技术总部相关负责人认为,数字转型不仅仅是建立系统、建设平台、着陆数据,而是涉及公司概念、文化、组织、形式、管理、流程等方面的全面变化,应充分结合自身资源禀赋,以客户为中心提高证券金融服务质量和效率,降低企业运营成本和风险,积极探索内部生态链,进入外部生态系统,数字重塑业务流程和商业模式。为实现上述目标,仍面临着四个难点:匹配转型目标、资源投资相对不足、数据治理水平和数据质量不足、复合人才短缺。
中国证监会于2018年底发布,并于2019年6月1日开始执行《中国证监会第152号令》,作为行业信息技术监管的依据,对证券公司、基金管理公司、行业信息技术服务机构具有重要意义。
管理措施强调了数据管理的必要性,对数据安全的管理职责有明确的要求,表明机构需要改进网络系统来保护业务数据和客户信息安全,防止数据泄露。
中国证监会关于证券基金管理机构信息技术管理措施也明确提出证券基金管理机构应完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒数据和客户信息安全,防止信息泄露和损坏。
就基金公司的数据安全而言,业内人士表示,随着金融业对通信技术和计算机应用的依赖性越来越大,各基金公司越来越关注如何确保信息系统的稳定和高效运行。
近年来,基金企业的数据安全逐渐放在首位,包括数据的使用范围、流通、复制和篡改。
来源:中国基金报:中国基金报:来源:中国基金报: 编辑:程春雨
