券商交易系統頻現故障，監管火速通報：將“穿透式監管、全鏈條問責” 實施“雙罰”

原標題：券商交易系統頻現故障，監管火速通報：將“穿透式監管、全鏈條問責”，實施“雙罰”

每經記者陳晨每經編輯肖芮冬

招商證券短期內連續兩次出現信息系統安全事件後，迅速引發了監管機構的高度重視。《每日經濟新聞》記者獲悉，證監會證券基金機構監管部向各證券公司和基金公司下發了新一期《機構監管情況通報》（以下簡稱《通報》），對近一年來，證券基金機構發生的多起信息系統安全事件進行梳理分析，並對反映出的問題進行了總結。

《通報》稱，下一階段，機構部將會同各證監局按照“穿透式監管、全鏈條問責”的原則，持續加大對證券基金經營機構合規內控與信息技術管理的監督檢查力度，對存在問題的機構和負有責任的人員實施“雙罰”，並在分類評價中從嚴處理。同時，密切跟蹤、研究行業在數字化轉型背景下業務與技術深度融合過程中出現的新情況、新問題，持續完善相關監管要求。

招商證券連續兩次交易系統故障被通報

根據《通報》顯示，近期，多家證券基金經營機構發生信息系統安全事件，尤其是招商證券短時間連續發生同類事件，影響投資者正常交易，給行業聲譽造成了負面影響。

《每日經濟新聞》記者瞭解到，2022年3月14日早間，“招商證券崩了”上了熱搜；當日午間時分，招商證券表示，目前正在加緊修復，問題已經有所緩解。系統其他功能正常。3月15日，招商證券發佈集中交易系統故障的情況說明並表示，故障已排除，系統服務恢復正常。不過，僅僅過去兩個月，5月16日，招商證券又發生交易系統登錄異常現象。

另外，就在招商證券3月14日出現交易系統故障後，深圳證監局也對招商證券出具了警示函處罰。深圳證監局稱，招商證券在2022年3月14日的網絡安全事件中，存在變更管理不完善，應急處置不及時、不到位等問題。

對於這兩次交易系統故障，《通報》稱，2022年3月14日、5月16日，招商證券在週末系統升級過程中，測試場景尤其是壓力測試不夠充分，導致交易系統接連發生兩次信息系統安全事件。反映出當事機構合規與內控制度不健全或執行不到位，在系統升級環節未能有效制定專項實施方案，內部管理存在漏洞，未對變更操作等行爲進行審查、確認和持續跟蹤。

此外，《通報》還舉例，2021年5月18日，首創證券的上交所報盤程序發生故障，經排查，事故原因爲軟件服務商工程師對部署在同一服務器上的資管系統升級時，升級包存在邏輯錯誤，反映出當事機構未有效落實《證券基金經營機構信息技術管理辦法》有關要求，未能清晰、準確、完整掌握重要信息系統的技術架構、業務邏輯和操作流程等內容，並確保重要信息系統運行始終處於自身控制範圍。

移動APP開發管理存短板爲事故易發領域

除了前述提到的個別公司合規內控管理不到位、主體責任意識不強等，《通報》稱，近一年來，證券基金機構發生多起信息系統安全事件還暴露出多方面的缺陷。

一是，運維人員操作規範性不足，未能建立有效的權限管理及複覈機制。經梳理，有6起信息系統安全事件因運維人員操作不規範引發。反映出當事機構在運維工作的流程設計與監督檢查等方面存在疏漏，合規與風險管理未覆蓋信息技術運用的各個環節，在執行過程中相關工作人員未遵循標準作業流程，安全與合規意識淡薄。

二是，移動APP開發管理存在短板，已成爲信息系統安全事件易發領域。2022年4月25日，國家計算機病毒應急處理中心通報了13款證券公司移動APP存在隱私不合規行爲，涉嫌超範圍採集個人隱私信息。經排查，相關機構存在移動APP上線審覈把關不嚴、註銷等部分環節處理不徹底、部分條款內容表述不嚴謹等問題。反映出部分行業機構在開展數字化轉型、加大移動APP開發投入的同時，未能同步做好相應的安全管理工作，在設計開發、應用上架、隱私保護等環節把關不嚴，存在一定的風險隱患。

三是，安全管理存在漏洞，應對外部網絡攻擊或爬蟲程序訪問等網絡防護能力仍需提升。2022年2月4日、2月14日、2月28日，3家基金管理公司接連出現由於感染病毒或爬蟲程序導致官網無法訪問的網絡安全事件，反映出當事機構網絡安全防護能力不足，未能在訪問控制、入侵監測及防護、病毒防護、網絡安全等方面建立起全面有效的安全防護體系。

監管提出五大方面要求

《通報》顯示，監管要求各證券基金經營機構提高政治站位，對照上述問題，舉一反三，認真自查整改，切實落實各項規定，維護好投資者合法權益，持續保障信息系統安全穩定運行。

首先，高度重視、加強管理，切實提升系統運維保障能力。一是壓實主體責任。二是強化安全管理。三是加大技術保障。

其次，強化內部控制和合規管理，穩妥推進系統升級改造。一是明確內部責任分工。二是制定專項實施方案。三是完善系統測試工作，搭建獨立於生產環境的專用測試環境，豐富系統升級變更後的測試場景，加強壓力測試。

再次，定期開展系統健壯性評估，及時消除風險隱患。一是全面、準確識別數字化轉型過程中的各類技術風險。二是建立健全信息系統安全監測機制。三是定期開展信息技術管理工作專項審計。

另外，嚴格落實客戶信息保護要求，切實維護投資者合法權益。一是完善技術安全保障措施。二是加強信息系統管理、操作和訪問權限管理，確保用戶權限與工作職責相匹配。三是落實相關法律法規要求，加強移動APP管理。

最後，加強容量管理與災備能力建設，提升應急處突能力。一是落實系統容量管理及備份能力建設要求。二是制定並持續完善應急預案。三是豐富應急處置場景，加強“真演實練”。