接连发生2起信息安全事件，中国证监会给招商证券出具警示函

综合上海证券报、北京青年报等

7月12日，中国证监会发布关于对招商证券股份有限公司采取出具警示函措施的决定。

公告称： 经查，证监会发现招商证券在2022年5月16日的网络安全事件中，存在系统设计与升级变更未经充分论证和测试，升级回退方案不完备等问题，反映出公司内部管理存在漏洞、权责分配机制不完善。

证监会表示，上述行为违反了 《证券期货业信息安全保障管理办法》 （证监会令第82号，以下简称《信息安全保障管理办法》）第二十二条、 《证券基金经营机构信息技术管理办法》 （证监会令第152号，以下简称《信息技术管理办法》）第六条、第二十二条第一款以及 《证券公司内部控制指引》 第一百一十四条、第一百一十五条的相关规定。 依据《信息安全保障管理办法》第五十条、《信息技术管理办法》第五十七条，以及《证券期货业网络安全事件报告与调查处理办法》（证监会公告〔2021〕12号）第二十八条的规定，证监会决定对招商证券采取出具警示函的行政监管措施。招商证券应对相关问题进行全面整改，并对责任人员进行内部责任追究。

据南方财经7月12日报道，证监会对招商证券股份有限公司采取出具警示函措施的决定，经查，发现招商证券在2022年5月16日的网络安全事件中，存在系统设计与升级变更未经充分论证和测试，升级回退方案不完备等问题。记者以投资人身份联系到招商证券证券部门， 相关人士表示，公司对该事件进行了检讨和整改，争取不再发生同类事件。

据了解，近日证监会机构部下发《机构监管情况通报》中，将近期发生的多起信息系统安全事件案例作为重点进行了专门通报，并着重点提到了包括招商证券、首创证券等在内的多家券商及基金公司。

在5月19日发布的2022年第5期（总第97期）《机构监管情况通报》中，监管层就近一年来证券基金机构发生的多起信息系统安全事件分析认为，事件主要类型及反映出的问题有以下五个方面：

其一是个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。

这当中特别提及，2022年3月14日、5月16日，招商证券在周末系统升级过程中，测试场景尤其是压力测试不够充分，导致交易系统发生两次信息系统安全事件。《机构监管情况通报》认为，这反映出当事机构合规与内控制度不健全或执行不到位，在系统升级环节未能有效制定专项实施方案，内部管理存在漏洞，未对变更操作等行为进行审查、确认和持续跟踪。

其二是主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。

2021年5月18日，首创证券的上交所报盘程序发生故障，经排查，事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时，升级包存在逻辑错误。通报认为， 这反映出当事机构未有效落实《证券基金经营机构信息技术管理办法》有关要求，未能清晰、准确、完整掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，并确保重要信息系统运行始终处于自身控制范围。

其三是运维人员操作规范性不足，未能建立有效的权限管理及复核机制。据了解，有6起信息系统安全事件因运维人员操作不规范引发 。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏，合规与风险管理未覆盖信息技术运用的各个环节 ，在执行过程中相关工作人员未遵循标准作业流程，安全与合规意识淡薄。

其四是 移动APP开发管理存在短板，已成为信息系统安全事件易发领域。 这当中尤其提到了今年4月25日，国家计算机病毒应急处理中心通报的13款证券公司移动APP存在隐私不合规行为，涉嫌超范围采集个人隐私信息的问题。通报认为，这反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时，未能同步做好相应的安全管理工作，在设计开发、应用上架、隐私保护等环节把关不严，存在一定的风险隐患。

其五是 安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。 2022年2月4日、2月14日、2月28日，3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件，反映出当事机构网络安全防护能力不足，未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

据了解，下一阶段，机构部将会同各证监局按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。监管部门还将密切跟踪、研究行业在数字化转型背景下，业务与技术深度融合过程中出现的新情况、新问题，持续完善相关监管要求。