玉林实硕医疗科技有限公司

交易系統故障釀大錯,首創證券接罰單,定性為較大信息安全事件

(原標題:交易系統故障釀大錯,首創證券接罰單,定性為較大信息安全事件)

財聯社(北京,記者 林堅)訊 4月7日,北京證監局官網顯示,因在2021年交易系統發生較大信息安全事件且應急處理不當,首創證券于4月1日被北京證監局采取責令整改的行政監管措施。

圖為北京證監局4月7日發布的關于首創證券的罰單

據了解,首創證券于2021年5月18日發生集中交易系統部分中斷,影響交易時間合計約20分鐘,按照《證券期貨業信息安全事件報告與調查處理辦法》第十二條規定,該事件達到較大信息安全事件標準。經北京證監局事后調查發現,首創證券信息技術部門有關人員在應急處置過程中刪除相關日志及數據庫信息,且未進行備份,導致始終無法確定本次信息安全事件的真實原因,公司在第一次報告中未如實報告應急處理不當的情況。

對此,北京證監局認為,首創證券在信息安全管理和信息安全事件應對方面存在缺陷,違反了《證券基金經營機構信息技術管理辦法》相關規定。

針對罰單一事,首創證券回應稱:公司高度重視本次事件,在事件發生后,公司立即成立了應急處置及整改工作小組,在北京證監局要求下完成了該事故的自查和整改。下一步,公司將按照北京證監局相關要求對信息系統進行全面自查,加強信息系統安全保障管理及信息技術人員培訓,提高信息系統運維能力,盡量杜絕此類事件的再次發生。目前公司經營管理一切正常,所有工作都在正常推進中。

財聯社記者注意到,今年4月以來,不到一周,已有券商因為相同的錯誤而被監管處罰。4月2日,深圳證監局發布公告稱,招商證券在3月14日網絡安全事件中存在變更管理不完善,應急處置不及時、不到位等問題,決定對其采取責令改正措施。

罰單雖震聵一時,但警鐘一直敲響。證券行業業績穩健增長,資本實力不斷增強的同時,伴隨著行業數字化轉型的快速發展,交易系統的安全性與穩定性更是行業的生命線。

有北京一家券商信息技術負責人對財聯社記者談到,提升IT系統的承受能力,加大對系統的資金投入,并更好地優化系統設計,一直是行業重中之重,市場震蕩加劇,意外沖擊因素很多,因此加大投入就更加重要。

首創證券被定性為較大信息安全事件

據記者觀察,這也是首創證券今年以來第二次收到罰單,第一次是在2月16日,首創證券貴陽都司路證券營業部因員工無證上崗、開戶二維碼違規使用等情況被貴州證監局采取出具警示函的監督管理措施。

本次處罰,北京證監局將首創證券交易系統發生的事故定性為較大信息安全事件。據了解,2020年新修訂的《證券期貨業信息安全事件報告與調查處理辦法》對“較大事件”進行了定義:即證券公司、期貨公司集中交易系統或者網上交易系統全部中斷、部分中斷,影響交易時間累計在5分鐘以上的;第三方存管系統、融資融券系統全部或者部分停止運行,影響業務時間累計30分鐘以上。

首創證券指出,公司此次發生的交易系統故障屬于偶發事故,在處理過程中也確實有經驗不足的地方,事故發生后,公司高層高度重視,積極配合監管要求進行嚴格內查,主動處置并落實監管要求,不斷完善內控制度、優化業務流程、加強培訓教育、提高員工合規意識,力爭類似事件不再發生。

北京證監局要求首創證券應對信息安全相關問題進行全面自查,切實提高系統運維保障能力和故障原因排查能力,完善信息安全應急處理工作機制,加強信息技術人員培訓,確保其履職能力,杜絕類似問題再次發生。

與此同時,北京證監局也指出,如果對該監督管理措施不服,可在收到本決定書之日起60日內向證監會提出行政復議申請,也可以在收到本決定書之日起6個月內向有管轄權的人民法院提起訴訟。復議與訴訟期間,上述監督管理措施不停止執行。

交易系統出現問題,與券商對IT投入的重視程度緊密相連,雖然系統事故具有偶然性,但與先期的投入與重視也密不可分。財聯社記者注意到,據中國證券業協會披露的券商2020年IT投入排名情況,首創證券信息技術投入為5877萬元,較2019年提高765萬元,在102家證券機構內排名第82名,較2019年排名提升了1位,總體排名相對靠后。

IT投入加速,但事故依然上演

近三年來,證券行業對信息科技重視程度不斷增強,行業信息技術投入逐年增長。根據今年26家已披露年報數據的券商情況,21家券商IT投入已合計達到138.54億元,較2020年同比增36.84%,IT投入依然是券業發展的關鍵詞、助推劑。

但與此同時,2020年以來,仍有多家券商或交易平臺的交易系統出現故障,因此受到監管處罰,這反映出券業信息技術建設有不足之處,信息基礎建設應該是券商不可忽略的展業前提之一。

2020年3月,西藏證監局稱,華林證券部分互聯網渠道交易系統于2019年9月16日9時44分42秒至10時42分11秒之間全部中斷57分29秒,影響客戶正常業務辦理,未及時向該局報告。在該局9月17日17時40分進行電話督促后,華林證券于9月18日向該局報送了《信息安全事件情況報告書》,存在遲報情況。

同年11月,上海證監局稱,國泰君安在信息技術管理方面存在未按規定對信息系統故障進行應急報告,客戶信息管控不足,且內部審查未充分遵循業務合規原則等方面的問題;江蘇證監局稱,華泰證券在2019年8月存在重大信息安全事件未報告。

2021年5月,山東證監局稱,中泰證券未及時監測發現2021年3月21日發生的信息安全事件,反映出公司信息系統安全監測機制不健全。

同年10月,浙江證監局稱,發現28日上午浙江同花順網絡科技有限公司“同花順”APP出現異常,同時在新浪微博等媒體出現輿情事件,對市場造成嚴重影響,該公司未立即報告上述信息系統異常情況,在浙江證監局工作人員向該公司了解相關情況后,截至當日下午3時,該公司仍未向浙江證監局報告此次信息系統異常的原因及處置情況。

轉型不夠穩固、錢或用不到位

每年花費資金進行技術升級,為何交易系統還是呈現出了“脆弱”的一面?接受財聯社記者采訪的券業人士指出,盡管IT投入迅猛,但券商數字化轉型根基還不夠穩固,例如存在數據體系不完善、數倉等關鍵基礎設施薄弱、系統架構靈活性欠缺等方面。

數字化轉型根基不夠穩固,也與數字化人才配置不足有著分不開的因果聯系。根據證券業協會在2020年8月發布的《關于推進證券行業數字化轉型發展的研究報告》,人才儲備方面,數字化人才支撐不足;據波士頓咨詢《券商數字化轉型破局之道》報告,雖然近年來國內券商從未停止擴充科技人才隊伍的步伐,但相比國際領先投行,科技人才建設水平仍有較大提升空間。

此外,上述券業人士還坦言,信息投入金額多,并不意味著是券商對技術升級有著渴求,而是有著分類評級的壓力,因此,錢是否用在刀刃上也很難說。2020年監管對券商分類評級指標進行了修訂,根據修訂后的《證券公司分類監管規定》,信息技術投入金額位于行業平均數以上,且投入金額占營業收入的比例位于行業前5名、前10名、前20名的,分別加2分、1分、0.5分。

財聯社記者梳理多份罰單后發現,監管層針對交易系統對券商提出了很多期許與具體要求。監管部門對于券商交易系統的整改要求多集中在“切實提高系統運維保障能力和故障原因排查能力”“完善信息安全應急處理工作機制”“加強信息技術人員培訓”等方面,涵蓋機制建設、隊伍建設。

據《證券基金經營機構信息技術管理辦法》第三十六條規定,證券基金經營機構借助信息技術手段從事證券基金業務活動的,應當建立信息技術應急管理的組織架構,確定重要業務及其恢復目標,制定應急預案,配置充足資源,穩妥處置信息技術突發事件,并積極開展應急演練和信息技術應急管理的評估與改進;據第四十二條規定,證券基金經營機構應當按照中國證監會有關規定,建立信息安全事件的分級響應機制,明確內部處置工作流程,確保相關信息系統及時恢復運行。

關鍵詞: 信息安全 首創證券 系統故障