近期，多家证券基金经营机构发生信息系统安全事件，影响投资者正常交易，给行业声誉造成了负面影响。

　　中国证券报·中证金牛座记者了解到，日前监管部门下发新一期《机构监管情况通报》，对相关信息系统安全事件案例专门进行了通报。通报中，监管部门从公司内控管理、系统架构掌握、运维人员、移动App开发管理等多方面分析了证券基金机构发生多起信息系统安全事件的原因，并明确五项要求，以持续保障信息系统安全稳定运行。

　　记者获悉，有关部门将按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。

　　市场人士认为，相关监管措施及时、全面、具有针对性，证券基金经营机构应该建立完善的监控系统，同时最大限度避免人为操作风险，着重提升应急能力。

信息系统安全事件频发

　　5月16日，大量投资者在社交平台反映招商证券系统崩溃，电脑和手机端均无法登录，“招商证券”也因此登上微博热搜。此后，招商证券在官方微博上进行了回应。

　　记者注意到，这并非招商证券首次出现系统异常的问题。

　　今年3月14日，招商证券交易系统曾发生“交易页面无法成交，无法撤回”等系统故障。对此，深圳证监局于4月2日发布公告称，招商证券在3月14日网络安全事件中存在变更管理不完善，应急处置不及时、不到位等问题，因此决定对其采取责令改正的行政监管措施。深圳证监局强调，上述整改工作应于3个月内完成，并向深圳证监局报送整改报告。然而3个月的整改期限还没到，招商证券系统再次出现异常。

　　无独有偶，华西证券交易系统也在5月16日早盘期间发生故障，导致无法交易。尽管在当天上午收盘前，相关情况得到解决，但也有不少投资者反映因交易系统宕机而造成经济损失。

　　类似的信息系统故障及安全事件近期还发生在基金管理公司。据了解，2月4日、2月14日、2月28日，3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件。

　　在业内人士看来，交易系统的故障不仅给投资者带来麻烦，还可能影响资本市场平稳运行。“不仅券商应当引以为戒加强自律，监管部门也要加大监管，倒逼券商强化自身信息系统建设，不断提高行业信息系统的安全稳定性。”武汉科技大学金融证券研究所所长董登新说。

监管揭示五大原因

　　记者获悉，针对频频发生的交易系统故障事件，证监会机构部在新一期的《机构监管情况通报》中专门通报了相关信息系统安全事件案例，供全行业借鉴。

　　对于事件主要类型及反映出的问题，监管部门从五个方面进行了分析。

　　其一，个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。以招商证券近期交易系统接连发生两次信息系统安全事件为例，有关部门认为，这反映出当事机构合规与内控制度不健全或执行不到位，在系统升级环节未能有效制定专项实施方案，内部管理存在漏洞，未对变更操作等行为进行审查、确认和持续跟踪。

　　其二，主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。比如，首创证券的上交所报盘程序于去年5月18日发生故障，经排查，事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时，升级包存在逻辑错误，反映出当事机构未有效落实相关办法要求等。

　　其三，运维人员操作规范性不足，未能建立有效的权限管理及复核机制。经梳理，有6起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏，安全与合规意识淡薄等情形。

　　其四，移动APP开发管理存在短板，已成为信息系统安全事件易发领域。2022年4月25日，国家计算机病毒应急处理中心通报了13款证券公司移动 APP存在隐私不合规行为，涉嫌超范围采集个人隐私信息。反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时，未能同步做好相应的安全管理工作，在设计开发、应用上架、隐私保护等环节把关不严，存在一定的风险隐患。

　　其五，安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

　　通报举例称，去年3家基金公司接连出现网络安全事件，反映出当事机构网络安全防护能力不足，未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

切实提升系统运维保障能力

　　在通报中，监管部门明确了五项要求。通报要求，各证券基金经营机构对照上述问题，举一反三，认真自查整改，维护好投资者合法权益，持续保障信息系统安全稳定运行。

　　切实提升系统运维保障能力。一是压实主体责任。健全信息技术管理体系和处罚问责机制，督促公司“一把手”、首席信息官和关键技术岗位人员时刻绷紧信息系统安全这根弦，切实履职尽责，抓好机构安全运营。二是强化安全管理。三是加大技术保障。结合当前疫情防控形势，加大信息技术投入，提升技术人员业务能力，保持核心技术人员稳定，做好应急值守安排。

　　强化内部控制和合规管理，稳妥推进系统升级改造。一是明确内部责任分工。二是制定专项实施方案，充分验证流程设计、功能设置、参数配置等相关内容，审慎开展涉及交易等核心业务环节的重要信息系统升级工作。三是完善系统测试工作，加强压力测试。

　　定期开展系统健壮性评估，及时消除风险隐患。一是全面、准确识别数字化转型过程中的各类技术风险，确保合规与风险管理覆盖信息技术运用的各个环节。二是建立健全信息系统安全监测机制。三是定期开展信息技术管理工作专项审计，深入排查信息系统架构问题及技术风险隐患，及时整改。

　　严格落实客户信息保护要求，切实维护投资者合法权益。一是完善技术安全保障措施，二是加强信息系统管理，三是落实相关法律法规要求，加强移动 APP管理。

　　最后，加强容量管理与灾备能力建设，提升应急处突能力。一是落实系统容量管理及备份能力建设要求，结合公司发展战略、业务规模等因素定期对重要信息系统开展压力测试，确保其容量满足业务开展需要。二是制定并持续完善应急预案。三是丰富应急处置场景。

（文章来源：中国证券报）