招商證券等機構“宕機”原因找到了,最新的監管通報提出五大要求

2022年05月24日16:11

機構頻繁“宕機”的原因找到了!近日,招商證券、華安證券等多家機構交易系統出現故障,導致無法交易,這一事件引起市場諸多關注。

5月24日,貝殼財經記者從機構處獲悉,監管最新一期的《機構監管情況通報》(以下簡稱《通報》)對證券基金機構出現故障的原因進行了梳理,並指出證券基金經營機構發生信息系統安全事件,直接影響投資者正常交易,給行業聲譽造成了負面影響。監管部門將依法開展調查工作,嚴肅處理相關機構及責任人員。

年內多家機構發生信息系統安全事件,上年79家券商因交易系統問題被投訴

信息系統安全事件年內多次發生。3月14日,招商證券交易系統出現故障,5月16日,招商證券再次“宕機”,連續的“宕機”引起市場關注並衝上熱搜。同日,華安基金也發生了類似的交易系統故障問題。

對於故障原因,市場猜測頗多,此次監管最新發佈的《通報》則對當前證券基金機構發生的信息系統安全事件進行了梳理,並總結出五大原因。比如,招商證券的兩次“宕機”主要是因為在週末系統升級過程中,測試場景尤其是壓力測試不夠充分,這顯示出機構的合規內控管理不到位,系統升級改造過程中存在薄弱環節。

再比如,2021 年5月18日,首創證券的上交所報盤程序發生故障,經排查,事故原因為軟件服務商工程師對部署在同一服務器上的資管系統升級時,升級包存在邏輯錯誤。而這主要在於機構主體責任意識不強、履行不力,未清晰、準確、完整掌握外部供應商提供軟件的系統架構。

同時,運維人員操作規範性不足,未能建立有效的權限管理及複核機制也是信息系統安全事件爆發的重要原因之一,《通報》顯示,經梳理,有 6 起信息系統安全事件因運維人員操作不規範引發。

值得注意的是,移動 APP 開發管理存在短板,已成為信息系統安全事件易發領域。貝殼財經記者此前報導,2022 年4月25日,國家計算機病毒應急處理中心通報了13 款證券公司移動 APP 存在隱私不合規行為,涉嫌超範圍採集個人隱私信息。

此外,基金公司安全管理問題也時有出現,據瞭解,今年 2 月 4 日、2 月 14 日、2 月 28 日,3 家基金管理公司接連出現由於感染病毒或爬蟲程序導致官網無法訪問的網絡安全事件。監管認為,基金公司應對外部網絡攻擊或爬蟲程序訪問等網絡防護能力仍需提升。

時間拉長來看,證券公司因交易系統穩定性問題被投訴的情況有所減少,但投訴頻次依然居於高位。據投保基金公司5月中旬發佈的《證券公司投資者保護狀況評價報告2022》顯示,從“12386”中國證監會服務熱線情況來看,2021年因交易系統穩定性問題被投訴的證券公司有79 家,累計被投訴 944 次,較上一年度(1103 次)有所下降。其中,被投訴5次及以上的有42家。

具體來看,交易故障主要有頁面無法訪問、交易信息顯示錯誤、無法及時成交或撤單、無法正常登錄等情況,特別是在市場行情轉換的時間點,對投資者股票交易造成一定影響。投保基金公司認為,相關證券公司應進一步做好交易系統的日常運維工作,切實保護投資者合法權益。

監管將加大監督檢查力度,密切跟蹤、研究行業新情況

《通報》顯示,機構需高度重視、加強管理,切實提升系統運維保障能力。一是壓實主體責任,健全信息技術管理體系和處罰問機制,督促公司“一把手”、首席信息官和關鍵技術崗位人員時刻繃緊信息系統安全這根弦,切實履職盡責,抓好機構安全運營。

二是強化安全管理,完善公司內部安全運營的制度措施,細化新業務、新產品上線涉及系統升級改造、定期安全評估、風險排查、應急演練等方面的操作流程,健全安全複核校驗機制,確保安全管理措施可實施、可回溯、可驗證。

三是加大技術保障,結合當前疫情防控形勢,加大信息技術投入,提升技術人員業務能力,保持核心技術人員穩定,做好應急值守安排,切實做好系統安全運行保障工作。

《通報》指出,機構需強化內部控製和合規管理,穩妥推進系統升級改造。包括明確內部責任分工。在信息技術部門牽頭相關工作的基礎上,將信息安全風險納入全面風險管理體系,發揮合規、風控等部門對信息安全風險的管控作用,形成相互監督、 相互製約的工作機制;製定專項實施方案,充分驗證流程設計、功能設置、參數配置等相關內容,審慎開展涉及交易等核心業務環節的重要信息系統升級工作;完善系統測試工作,搭建獨立於生產環境的專用測試環境,豐富系統升級變更後的測試場景,加強壓力測試。

《通報》還指出,機構需定期開展系統健壯性評估,及時消除風險隱患。 包括全面、準確識別數字化轉型過程中的各類技術風險,確保合規與風險管理覆蓋信息技術運用的各個環節;建立健全信息系統安全監測機制,設定監測指標並持續監測重要信息系統的運行狀況;定期開展信息技術管理工作專項審計,深入排查信息系統架構問題及技術風險隱患,並根據審計排查情況及時整改。

《通報》認為,機構需嚴格落實客戶信息保護要求,切實維護投資者合法權益。一是完善技術安全保障措施,包括但不限於網絡隔離、用戶認證、訪問控製、數據加密、數據備份、數據銷毀、病毒防範和非法入侵監測等,保護數據安全,防範信息泄露與損毀;二是加強信息系統管理、操作和訪問權限管理,確保用戶權限與工作職責相匹配;三是落實相關法律法規要求,加強移動APP管理,完善發佈前的審核檢測機制,持續監督信息技術服務機構等外部機構保密協議履行情況,避免因合作機構管理不當導致投資者信息外泄。

《通報》強調,機構需加強容量管理與災備能力建設,提升應急處突能力。具體來看,包括落實系統容量管理及備份能力建設要求,結合公司發展戰略、業務規模等因素定期對重要信息系統開展壓力測試,確保其容量滿足業務開展需要;製定並持續完善應急預案,根據應急預案定期組織關鍵崗位人員開展應急演練;豐富應急處置場景,加強“真演實練”,定期梳理總結演練發現的問題,健全應急處置機制。

“下一階段,機構部將會同各證監局按照‘穿透式監管、全鏈條問責’的原則,持續加大對證券基金經營機構合規內控與信息技術管理的監督檢查力度,對存在問題的機構和負有責任的人員實施‘雙罰’,並在分類評價中從嚴處理。”《通報》顯示,密切跟蹤、研究行業在數字化轉型背景下業務與技術深度融合過程中出現的新情況、新問題,持續完善相關監管要求。

新京報貝殼財經記者 胡萌

編輯 宋鈺婷

校對 劉軍

關注我們Facebook專頁
    相關新聞
      更多瀏覽