券业首单网络安全事件“双罚”来了，压实穿透式监管、全链条问责，监管为信息技术风险管理再敲警钟

券业首单网络安全事件“双罚”来了，压实穿透式监管、全链条问责，监管为信息技术风险管理再敲警钟

财联社7月12日讯（记者 吴昊）证券行业积极推动数字化、信息化转型的同时，监管对于信息技术风险管理的处罚力度也空前收紧。这一背景下，行业首个因网络安全事件而落实“双罚”的监管处罚到来。

7月12日，证监会针对招商证券在5月16日出现的网络安全事件，对公司及三位信息技术方面责任人分别出具警示函。

证监会在当日罚单中指出，招商证券在前述网络安全事件中,存在系统设计与升级变更未经充分论证和测试，升级回退方案不完备等问题，反映出公司内部管理存在漏洞、权责分配机制不完善；胡滔作为公司总裁助理、首席数字官,协管信息技术工作，邓曙光作为公司金融科技中心总监，陈卓作为公司金融科技中心核心交易开发部总经理，对相关问题负有责任。

值得注意的是，在5月19日证监会机构部对行业下发的2022年第5期（总第97期）《机构监管情况通报》中，证监会明确表示，将按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。而本次罚单，亦是对监管压实责任、从严处罚的直接体现。

针对此次监管处罚，招商证券回应记者表示，公司将以此为鉴、积极整改，全面提升系统的稳定性和安全性，为客户提供更好的交易体验。

行业首例网络安全事件“双罚”来了

本次监管罚单，事出招商证券5月16日早开盘后，持续十余分钟的交易系统崩溃事件。

当日上午开盘不久，招商证券交易系统遭投资者反映，PC与APP端均无法登录，“卸载登录也不行，页面显示网络请求失败。”还有投资者反映股票因系统崩溃而没有卖出去。

上午10点32分，招商证券作出回应称，相关系统已于9点40分左右恢复。相关说明与致歉，也同步在招商证券官方微博平台上发布。“今早招商证券交易系统部分客户登录出现异常。目前已恢复正常。对此我们深感抱歉。”招商证券在微博中表示。

不过来自监管罚单还是来了。7月12日，证监会在公告中指出，招商证券在2022年5月16日的网络安全事件中,存在系统设计与升级变更未经充分论证和测试，升级回退方案不完备等问题，反映出公司内部管理存在漏洞、权责分配机制不完善。

证监会认为，上述行为违反了《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》《证券公司内部控制指引》等多项规定，决定对招商证券采取出具警示函的行政监管措施，并责令招商证券对相关问题进行全面整改，并对责任人员进行内部责任追究。

与此同时，证监会亦对招商证券胡滔、邓曙光、陈卓三位信息技术相关责任人出具警示函。

证监会表示，胡滔作为公司总裁助理、首席数字官,协管信息技术工作，邓曙光作为公司金融科技中心总监，陈卓作为公司金融科技中心核心交易开发部总经理，对相关问题负有责任。证监会决定对上述三人采取出具警示函的行政监管措施。

上述罚单的落款时间均为6月23日，也即前述5·16网络安全事件发生一个月后。记者梳理发现，招商证券今日收到的罚单，或是今年内首个因公司网络安全事件而落实“双罚”的监管处罚案例。

招商证券就此对记者回应表示，公司将以此为鉴、积极整改，全面提升系统的稳定性和安全性，为客户提供更好的交易体验。

监管通报行业信息安全五大问题

这已是今年以来，招商证券第二次因交易系统故障问题遭到监管处罚。在此前发生于3月14日的网络安全事件中，招商证券遭到了来自证监局、交易所的多重处罚。其中，深圳证监局于4月11日对招商证券采取责令改正的行政监管措施；上交所于5月13日对招商证券予以书面警示；深交所于6月10日亦公布了对招商证券的警示函。

因两次事件间隔仅两个月，招商证券遭证监会《机构监管情况通报》点名。在该份文件中，还有包括首创证券等在内的多家券商、基金公司，亦因存在的信息系统安全问题被监管通报。

《机构监管情况通报》指出，近一年来证券基金机构发生的多起信息系统安全事件反映出五大方面问题：

其一是个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节；其二是主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构；其三是运维人员操作规范性不足，未能建立有效的权限管理及复核机制；其四是移动APP开发管理存在短板，已成为信息系统安全事件易发领域；其五是安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

值得注意的是，监管在前述文件中也已明确表示，下阶段将按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。

中证协强调券商信息系统安全六点工作要求

随着信息技术与证券业务融合程度加深，证券经营机构对于信息技术风险管理的重视程度不断提高。

今年6月，中证协在组织召开的证券科技专业委员会第二次主任委员会议中，针对券商信息系统安全稳定运行、防范系统风险方面，向券商提出六点工作要求：

一是慎重处理系统变更。在新冠疫情多发阶段，对非必要的系统升级工作暂缓执行。应当遵循安全优先的原则，加强安全生产值守工作，除行业业务通关等工作以外，原则上不对重要信息系统和门户网站开展运行变更、下线等操作。确需升级变更操作，要严格对变更实施方案、变更影响和风险评估、变更后验证方案、重点监控方案、应急回退方案等内容审核、评估，控制变更风险。

二是加强系统上线前测试。系统上线前需要充分验证流程设计、功能设置、参数配置等相关内容，任何系统变更升级前须进行独立于生产环境的测试验证，重要信息系统需要进行全流程压力测试并做好性能容量评估。

三是持续完善重要信息系统应急预案。强化应急预案日常演练工作，定期组织关键岗位人员开展应急演练，丰富应急处置场景，加强“真演实练”，梳理总结演练发现的问题，健全应急处置机制。

四是加强信息技术服务机构产品质量的管控。全面提高信息技术服务机构研发质量标准，加强对需求管理、研发过程规范、测试质控及变更评审进行专项改进，采用不低于证券公司内部变更规范，在升级包的变更说明中准确描述变更范围、关联影响，提升产品质量。

五是提升系统自动化运维水平。在监控巡检、例行作业、变更实施、应急处置等方面利用技术手段逐步实现运维自动化、智能化，提高运维效率，提升信息系统运行质量。

六是做好系统运维人员安全防护。根据各地疫情防控形势，采取必要措施有效保障信息系统场所卫生安全和生活物资保障，加强对系统运维员工健康状况的关怀，确保员工队伍充足稳定。