证监会再发监管通告，直指2家券商APP开发管理存短板

　　券商交易系统故障频发，监管部门的情况通报也更为迅速。

　　在日前证监会机构部下发的《机构监管情况通报》中，将近期发生的多起信息系统安全事件案例作为重点进行了专门通报，并着重点提到了包括招商证券、首创证券等在内的多家券商及基金公司。

　　《机构监管情况通报》中提到，近期，多家证券基金经营机构发生信息系统安全事件，尤其是招商证券短时间（3月14日、5月16日）连续发生同类事件，影响投资者正常交易，给行业声誉造成了负面影响。

　　在对近期发生的多起信息系统安全事件的分析中，监管认为，主要反映五方面问题，包括合规内控不到位；未清晰、准确、完整掌握外部供应商提供软件的系统架构；移动APP开发管理存在短板；安全管理存在漏洞等。

　　交易系统是证券公司向投资者提供服务的通道，其安全性、稳定性是基本的运维要求。《机构监管情况通报》也针对交易系统运维当中的薄弱环节提出五点明确要求，包括提升系统运维保障能力；稳妥推进系统升级改造；定期开展系统健壮性评估；严格落实客户信息保护要求；加强容量管理与灾备能力建设等。

　　监管部门也明确提到，下一阶段，将按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。

　　记者也从多家券商处了解到，针对本期《机构监管情况通报》中的案例，公司内部已开展了相关学习与整改自查工作，“系统安全保障工作是没有止境的，我们会投入大量精力去做好内部整改和检查回顾，因为出问题的成本非常高。”一位华南地区券商信息技术相关人士表示。

五类问题遭监管通报

　　5月19日发布的2022年第5期（总第97期）《机构监管情况通报》中，就近一年来证券基金机构发生的多起信息系统安全事件分析认为，事件主要类型及反映出的问题有以下五个方面：

　　其一是个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。

　　这当中特别提及，2022年3月14日、5月16日，招商证券在周末系统升级过程中，测试场景尤其是压力测试不够充分，导致交易系统接连发生两次信息系统安全事件。

　　《机构监管情况通报》认为，这反映出当事机构合规与内控制度不健全或执行不到位，在系统升级环节未能有效制定专项实施方案，内部管理存在漏洞，未对变更操作等行为进行审查、确认和持续跟踪。

　　其二是主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。

　　根据通报，2021年5月18日，首创证券的上交所报盘程序发生故障，经排查，事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时，升级包存在逻辑错误。

　　《机构监管情况通报》认为，这反映出当事机构未有效落实《证券基金经营机构信息技术管理办法》有关要求，未能清晰、准确、完整掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，并确保重要信息系统运行始终处于自身控制范围。

　　其三是运维人员操作规范性不足，未能建立有效的权限管理及复核机制。

　　经梳理，有6起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏，合规与风险管理未覆盖信息技术运用的各个环节，在执行过程中相关工作人员未遵循标准作业流程，安全与合规意识淡薄。

　　其四是移动APP开发管理存在短板，已成为信息系统安全事件易发领域。

　　这当中尤其提到了今年4月25日，国家计算机病毒应急处理中心通报的13款证券公司移动APP存在隐私不合规行为，涉嫌超范围采集个人隐私信息的问题。

　　《机构监管情况通报》认为，这反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时，未能同步做好相应的安全管理工作，在设计开发、应用上架、隐私保护等环节把关不严，存在一定的风险隐患。

　　其五是安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

　　2022年2月4日、2月14日、2月28日，3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件，反映出当事机构网络安全防护能力不足，未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

应落实五方面要求，提升系统运维能力

　　记者在采访中了解到，券商交易系统出问题，多与系统本身出现变化有关，其中大多分为三种情况：

　　一是系统内部的变化，如系统更新升级，而这也是券商人士普遍认为导致系统故障最为多发的情形；

　　二是外部环境的变化，例如突发的行情会导致交易系统的交易瓶颈，并触发潜在隐患；

　　三是券商自身维护环境的变化，例如疫情期间，现场维护人员减少，从而导致未能及时发现并有效处置相关故障。

　　在《机构监管情况通报》中，监管部门也着重就系统维护与监控等方面提出五方面详尽要求：

　　一是高度重视、加强管理，切实提升系统运维保障能力。包括应当健全信息技术管理体系和处罚问责机制；完善公司内部安全运营的制度措施及健全安全复核校验机制；结合当前疫情防控形势，加大信息技术投入，提升技术人员业务能力，保持核心技术人员稳定，做好应急值守安排等。

　　二是强化内部控制和合规管理，稳妥推进系统升级改造。包括明确内部责任分工；制定专项实施方案，审慎开展涉及交易等核心业务环节的重要信息系统升级工作；完善系统测试工作等。

　　三是定期开展系统健壮性评估，及时消除风险隐患。包括全面、准确识别数字化转型过程中的各类技术风险，确保合规与风险管理覆盖信息技术运用的各个环节；建立健全信息系统安全监测机制，设定监测指标并持续监测重要信息系统的运行状况；定期开展信息技术管理工作专项审计，深入排查信息系统架构问题及技术风险隐患，并根据审计排查情况及时整改。

　　四是严格落实客户信息保护要求，切实维护投资者合法权益。包括完善技术安全保障措施；加强信息系统管理、操作和访问权限管理，确保用户权限与工作职责相匹配；落实相关法律法规要求，加强移动APP管理，完善发布前的审核检测机制，持续监督信息技术服务机构等外部机构保密协议履行情况，避免因合作机构管理不当导致投资者信息外泄。

　　五是加强容量管理与灾备能力建设，提升应急处突能力。包括落实系统容量管理及备份能力建设要求，结合公司发展战略、业务规模等因素定期对重要信息系统开展压力测试，确保其容量满足业务开展需要；制定并持续完善应急预案；丰富应急处置场景，健全应急处置机制。

　　监管部门强调，各证券基金经营机构应当对照上述问题，举一反三，认真自查整改，切实落实各项规定，维护好投资者合法权益，持续保障信息系统安全稳定运行。

　　下一阶段，机构部将会同各证监局按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。

　　同时，监管部门还将密切跟踪、研究行业在数字化转型背景下，业务与技术深度融合过程中出现的新情况、新问题，持续完善相关监管要求。

安全保障无止境，券商已开展自查学习

　　记者从与数位券商网络金融部、信息技术部相关人士处交流了解到，目前公司在内部已针对《机构监管情况通报》看展了细致的案例学习与自查整改工作。

　　华南地区某券商信息技术人士对记者表示，公司已组织《机构监管情况通报》的案例学习会议，“交易系统故障问题很多都是通用性的，某一家出现问题，也代表着其他券商有出现同类问题的风险。我们也会按照常规，做好对比性检查，组织开发团队做好风险自查与整改工作。”

　　同时，该人士提到，系统安全保障工作是没有止境的，根据实际的案例进行不断地改进，是最有效的方式，“我们会投入大量精力去做好内部整改和检查回顾，因为出问题的成本非常高。”

　　另一中型券商网金部负责人表示，其所在公司在相关事件发生后，第一时间就召集了内部会议，将按照运维等级高低，一次排查各个系统模块，从功能到性能全面进行排查。与此同时，还将配合进行应急文档整理、岗位职责明确、相关应急演练等工作。

　　该人士同时提到，其所在公司将从几个方面做好风险防范工作，包括加强监控；做好应急方案及演练；制定完备的升级变更规范；充分的功能测试和性能测试；系统定级，确定保障程度等。

　　多位券商网金人士也谈到，目前券商技术积累以及应用场景、系统提供商相对薄弱，未有足够的样本和场景进行验证迭代完善功能，确保功能的稳定性和健壮性。在日后的在运维方面，应当在监控、测试、流程规范、等保定级、应急方案制定和演练等方面进行加强和防范。

　　“信息技术的投入是长期见效的过程，行业整体上也是近几年才逐渐加大投入，投入的重点可能更多放在业务系统建设，或者规模支持上，对于运维方面的投入可能相对较少，存在‘重建设轻运营’的现象。那么随着业务的复杂化、投入规模的加大，系统也会越来越庞大，运维出风险的可能性也会相应提升。”一位大型券商信息技术人士提到。

　　他表示，在日后，行业应当在注重业务成效、加大业务建设投入的同时，也要加大在信息系统安全和运维方面的投入。