证券基金行业频发的“宕机”问题,引发了监管部门的火速关注。
券商中国记者了解到,证监会机构部近日向各证券公司和基金公司下发了《机构监管情况通报》(简称“通报”),通报了近期行业存在的信息系统安全事件情况,表示将依法开展调查工作,严肃处理相关机构及责任人员。
同时,监管部门有针对性地强调了监管要求,督促各家证券公司和基金公司强化合规内控,提升信息系统运维保障能力,严守信息安全底线,证监会将持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度,对存在问题的机构和负有责任的人员实施“双罚”,并在分类评价中从严处理。
市场人士表示,信息安全对证券基金机构至关重要,要确保投资者正常交易,资本市场平稳运行,必须提升系统运维保障能力,强化安全管理,加大技术保障,强化内部控制和合规管理,定期开展系统健壮性评估,及时消除风险隐患。
多家机构“触礁”信息系统安全,监管部门火速调查
5月16日,有投资者反映招商证券APP无法登陆,招商证券当日通过微博发布内容证实交易系统故障,并表示恢复正常和致歉,而这已是招商证券近两个月内第二次出现APP故障。
两个月前,2022年3月14日,有网友在社交平台反映招商证券交易系统出现故障,包括无法成交和无法撤回交易等问题,当时招商证券交易系统故障曾一度被炒上热搜。
“这暴露出有的机构合规内控管理不到位,系统升级改造过程中存在薄弱环节。”通报指出,招商证券在周末系统升级过程中,测试场景尤其是压力测试不够充分,导致交易系统接连发生上述两次信息系统安全事件。反映出当事机构合规与内控制度不健全或执行不到位,在系统升级环节未能有效制定专项实施方案,内部管理存在漏洞,未对变更操作等行为进行审查、确认和持续跟踪。
把时间拉长看,近一年来,证券基金机构发生多起信息系统安全事件,2021年5月18日,首创证券的上交所报盘程序发生故障,经排查,事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时,升级包存在逻辑错误,反映出当事机构未有效落实《证券基金经营机构信息技术管理办法》有关要求,未能清晰、准确、完整掌握重要信息系统的技术架构、业务逻辑和操作流程等内容,并确保重要信息系统运行始终处于自身控制范围。通报指出,这体现出主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构。
行业信息系统漏洞需引起重视
金融科技日渐成为券商重要竞争力之一,各个机构纷纷加大投入,提升客户体验,然而在大比拼的市场环境下,除了上述提到的系统升级改造漏洞、外部供应商系统架构出问题外,行业信息系统还存在的其他短板。
一是运维人员操作规范性不足,未能建立有效的权限管理及复核机制。经梳理,有6起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏,合规与风险管理未覆盖信息技术运用的各个环节,在执行过程中相关工作人员未遵循标准作业流程,安全与合规意识淡薄。
二是移动APP开发管理存在短板,已成为信息系统安全事件易发领域。2022年4月25日,国家计算机病毒应急处理中心通报了13款证券公司移动APP存在隐私不合规行为,涉嫌超范围采集个人隐私信息。经排查,相关机构存在移动APP上线审核把关不严、注销等部分环节处理不彻底、部分条款内容表述不严谨等问题。反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时,未能同步做好相应的安全管理工作,在设计开发、应用上架、隐私保护。
三是安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。2022年2月4日、2月14日、2月28日,3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件,反映出当事机构网络安全防护能力不足,未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。
五方面强化监管要求,强化内部控制和合规管理
通报要求,各证券基金经营机构提高政治站位,对照问题,举一反三,认真自查整改,切实落实各项规定,维护好投资者合法权益,持续保障信息系统安全稳定运行。
第一,高度重视、加强管理,切实提升系统运维保障能力。一是压实主体责任。健全信息技术管理体系和处罚问责机制,督促公司“一把手”、首席信息官和关键技术岗位人员时刻绷紧信息系统安全这根弦,切实履职尽责,抓好机构安全运营。二是强化安全管理。完善公司内部安全运营的制度措施,细化新业务、新产品上线涉及系统升级改造、定期安全评估、风险排查、应急演练等方面的操作流程,健全安全复核校验机制,确保安全管理措施可实施、可回溯、可验证。三是加大技术保障。结合当前疫情防控形势,加大信息技术投入,提升技术人员业务能力保持核心技术人员稳定,做好应急值守安排,切实做好系统安全运行保障工作。
第二,强化内部控制和合规管理,稳妥推进系统升级改造。一是明确内部责任分工。在信息技术部门牵头相关工作的基础上,将信息安全风险纳入全面风险管理体系,发挥合规、风控等部门对信息安全风险的管控作用,形成相互监督、相互制约的工作机制。二是制定专项实施方案,充分验证流程设计、功能设置、参数配置等相关内容,审慎开展涉及交易等核心业务环节的重要信息系统升级工作。三是完善系统测试工作,搭建独立于生产环境的专用测试环境,丰富系统升级变更后的测试场景,加强压力测试。
第三,定期开展系统健壮性评估,及时消除风险隐患。一是全面、准确识别数字化转型过程中的各类技术风险,确保合规与风险管理覆盖信息技术运用的各个环节。二是建立健全信息系统安全监测机制,设定监测指标并持续监测重要信息系统的运行状况。三是定期开展信息技术管理工作专项审计,深入排查信息系统架构问题及技术风险隐患,并根据审计排查情况及时整改。
第四,严格落实客户信息保护要求,切实维护投资者合法权益。一是完善技术安全保障措施,包括但不限于网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、病毒防范和非法入侵监测等,保护数据安全,防范信息泄露与损毁。二是加强信息系统管理、操作和访问权限管理,确保用户权限与工作职责相匹配。三是落实相关法律法规要求,加强移动APP管理,完善发布前的审核检测机制,持续监督信息技术服务机构等外部机构保密协议履行情况,避免因合作机构管理不当导致投资者信息外泄。
第五,加强容量管理与灾备能力建设,提升应急处突能力。一是落实系统容量管理及备份能力建设要求,结合公司发展战略、业务规模等因素定期对重要信息系统开展压力测试,确保其容量满足业务开展需要。二是制定并持续完善应急预案,根据应急预案定期组织关键岗位人员开展应急演练。三是丰富应急处置场景,加强“真演实练”,定期梳理总结演练发现的问题,健全应急处置机制。
对存在问题的机构和负责人“双罚”
近年来,监管机构对证券期货业网络安全的高度重视,针对证券期货业的网络安全相关文件相继出台,各项针对网络安全等级保护的工作也在积极推动。同时,证券公司也正持续增加信息技术的投入,自2017年以来,证券行业对信息技术的投入累计已经超过1100亿元,但是证券行业的数字化转型之路任重而道远。
券商“宕机”事件频发,反映出交易系统稳定性还有较大改进空间。中国CFO百人论坛理事邓之东认为,券商早期搭建的基础系统架构,有的已跟不上如今业务发展的需要,同时由于多方共建、架构升级等原因,多套交易系统并行,不仅让运维管理难度大幅增加,而且让重建系统的难度和成本更高。
根据证监会公布的《证券公司分类监管规定》,信息技术管理是6大评价指标之一,将影响证券公司的综合性排名。此外,分类监管规定中明确指出,证券公司被采取责令改正,责令增加内部合规检查次数的,每次扣1分。
证监会表示,下一阶段,机构部将会同各证监局按照“穿透式监管、全链条问责”的原则,持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度,对存在问题的机构和负有责任的人员实施“双罚”,并在分类评价中从严处理。同时,密切跟踪、研究行业在数字化转型背景下业务与技术深度融合过程中出现的新情况、新问题,持续完善相关监管要求。