该打的报告还是不能漏!
近日,江苏证监局公布的一则罚单显示,华泰证券因去年8月的一桩重大信息安全事件未报告,收到了警示函。
江苏证监局并未在公告中详述事件内情,但通过查阅相关政策规定,可以大致判断该重大信息安全事件存在四种可能:证券、期货公司集中交易系统发生故障,其他信息系统发生故障,或发生投资者数据损毁或者泄露的事件,以及发生涉及计算机犯罪的事件。
券商中国记者从业内人士处了解到,在实际经营中,前两种情况发生的可能性相对更高。例如今年3月,华林证券就曾因部分互联网渠道交易系统中断近一个小时,且未及时向监管报告,而被西藏证监局出具警示函。
易董数据显示,最近三年至少有10家券商因信息安全问题遭遇监管处罚。集中诞生的罚单一方面反映出券商在信息安全方面仍有改进优化空间,另一方面也投射出监管层近年来在信息安全建设、投资者保护方面的持续努力。
信息安全又出警示函
江苏证监局指出,华泰证券2019年8月存在重大信息安全事件未报告,根据相关政策规定,决定对该公司采取出具警示函的行政监管措施。并要求华泰证券高度重视,强化内控,加强管理,切实做好相关信息安全工作。
公告还提到,上述行为违反了《证券期货业信息安全事件报告与调查处理办法》第十一条、第十六条,以及《证券基金经营机构信息技术管理办法》第五十四条的相关规定。
根据相关政策规定,对于经营机构而言,监管要求其应当建立信息安全应急处置机制,及时处置信息安全事件,尽快恢复信息系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告:
第一,集中交易系统发生故障,可能导致或者已经造成交易中断、严重缓慢的,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告;
第二,其他信息系统发生故障,影响投资者正常业务办理,原则上30分钟内无法恢复业务正常运行的,应当立即报告,并每隔1小时至少上报一次,直至业务和信息系统恢复正常运行;如有重要情况应当立即报告;
第三,发生投资者数据损毁或者泄露的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告;
第四,发生涉及计算机犯罪的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告。
由此可大致判断,此次华泰证券涉及的重大信息安全事件存在四种可能:证券、期货公司集中交易系统发生故障,其他信息系统发生故障,或发生投资者数据损毁或者泄露的事件,以及发生涉及计算机犯罪的事件。
监管强化信息安全保护
券商中国记者从业内人士处了解到,在实际经营中出现重大信息安全事件,券商集中交易系统发生故障的可能性相对更高。例如今年3月,华林证券就曾因部分互联网渠道交易系统中断近一个小时,且未及时向监管报告,而被西藏证监局出具警示函。
需要注意的是,证监系统近年来对于信息安全事件的监管力度正在逐步加强。据了解,中国证监会及其派出机构在对证券基金经营与服务机构信息技术管理及服务活动的监管过程中,可以采用渗透测试、漏洞扫描及信息技术风险评估等方式,开展现场检查及非现场检查。
监管力度的提升也促使更多的违规行为得到警示和纠正。易董数据显示,最近三年至少有10家券商因信息安全问题遭遇监管处罚,其中2018年4家、2019年4家、2020年2家。
具体而言,违规类型主要是“未建立完善的信息技术管理制度和操作规程”,违规原因主要集中在交易系统故障导致客户无法正常交易,但也存在营业部私自将客户电脑接入营业部网络、信息运维人员在交易时间对生产环境中的存储过程进行运维操作、信息系统渗透测试报告显示存在多项漏洞等运营失误。
有业内人士对此表示,集中诞生的罚单一方面反映出券商在信息安全方面仍有改进优化空间,另一方面也投射出监管层近年来在信息安全建设、投资者保护方面的持续努力,这对券商、投资者等市场各方来说都是好事。