券商交易系统故障频发，监管部门的情况公告也更为迅速。

　　在日前证监会机构部下发的《机构监管情况公告》中，将近期发生的多起信息系统安全事件案例作为重点进行了专门公告，并着重点提到了包括招商证券、首创证券等在内的多家券商及基金公司。

　　《机构监管情况公告》中提到，近期，多家证券基金经营机构发生信息系统安全事件，尤其是招商证券短时间(3月14日、5月16日)连续发生同类事件，影响投资者正常交易，给行业声誉造成了负面影响。

　　在对近期发生的多起信息系统安全事件的分析中，监管认为，主要反映五方面问题，包括合规内控不到位；未清晰、准确、完整掌握外部供应商提供软件的系统架构；移动APP开发管理存在短板；安全管理存在漏洞等。

　　交易系统是证券公司向投资者提供服务的通道，其安全性、稳定性是基本的运维要求。《机构监管情况公告》也针对交易系统运维当中的薄弱环节提出五点明确要求，包括提升系统运维保障能力；稳妥推进系统升级改造；定期开展系统健壮性评估；严格落实客户信息保护要求；加强容量管理与灾备能力建设等。

　　监管部门也明确提到，下一阶段，将按照“穿透式监管、全链条问责”的原则，持续加大对证券基金经营机构合规内控与信息技术管理的监督检查力度，对存在问题的机构和负有责任的人员实施“双罚”，并在分类评价中从严处理。

　　记者也从多家券商处了解到，针对本期《机构监管情况公告》中的案例，公司内部已开展了相关学习与整改自查工作，“系统安全保障工作是没有止境的，我们会投入大量精力去做好内部整改和检查回顾，因为出问题的成本非常高。”一位华南地区券商信息技术相关人士表示。

　　五类问题遭监管公告

　　5月19日发布的2022年第5期(总第97期)《机构监管情况公告》中，就近一年来证券基金机构发生的多起信息系统安全事件分析认为，事件主要类型及反映出的问题有以下五个方面：

　　其一是个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。

　　这当中特别提及，2022年3月14日、5月16日，招商证券在周末系统升级过程中，测试场景尤其是压力测试不够充分，导致交易系统接连发生两次信息系统安全事件。

　　《机构监管情况公告》认为，这反映出当事机构合规与内控制度不健全或执行不到位，在系统升级环节未能有效制定专项实施方案，内部管理存在漏洞，未对变更操作等行为进行审查、确认和持续跟踪。

　　其二是主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。

　　根据公告，2021年5月18日，首创证券的上交所报盘程序发生故障，经排查，事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时，升级包存在逻辑错误。

　　《机构监管情况公告》认为，这反映出当事机构未有效落实《证券基金经营机构信息技术管理办法》有关要求，未能清晰、准确、完整掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，并确保重要信息系统运行始终处于自身控制范围。

　　其三是运维人员操作规范性不足，未能建立有效的权限管理及复核机制。

　　经梳理，有6起信息系统安全事件因运维人员操作不规范引发。反映出当事机构在运维工作的流程设计与监督检查等方面存在疏漏，合规与风险管理未覆盖信息技术运用的各个环节，在执行过程中相关工作人员未遵循标准作业流程，安全与合规意识淡薄。

　　其四是移动APP开发管理存在短板，已成为信息系统安全事件易发领域。

　　这当中尤其提到了今年4月25日，国家计算机病毒应急处理中心公告的13款证券公司移动APP存在隐私不合规行为，涉嫌超范围采集个人隐私信息的问题。

　　《机构监管情况公告》认为，这反映出部分行业机构在开展数字化转型、加大移动APP开发投入的同时，未能同步做好相应的安全管理工作，在设计开发、应用上架、隐私保护等环节把关不严，存在一定的风险隐患。

　　其五是安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

　　2022年2月4日、2月14日、2月28日，3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件，反映出当事机构网络安全防护能力不足，未能在访问控制、入侵监测及防护、病毒防护、网络安全等方面建立起全面有效的安全防护体系。

　　应落实五方面要求，提升系统运维能力

　　记者在采访中了解到，券商交易系统出问题，多与系统本身出现变化有关，其中大多分为三种情况：

　　一是系统内部的变化，如系统更新升级，而这也是券商人士普遍认为导致系统故障最为多发的情形；

　　二是外部环境的变化，例如突发的行情会导致交易系统的交易瓶颈，并触发潜在隐患；

　　三是券商自身维护环境的变化，例如疫情期间，现场维护人员减少，从而导致未能及时发现并有效处置相关故障。

　　在《机构监管情况公告》中，监管部门也着重就系统维护与监控等方面提出五方面详尽要求：

　　一是高度重视、加强管理，切实提升系统运维保障能力。包括应当健全信息技术管理体系和处罚问责机制；完善公司内部安全运营的制度措施及健全安全复核校验机制；结合当前疫情防控形势，加大信息技术投入，提升技术人员业务能力，保持核心技术人员稳定，做好应急值守安排等。

　　二是强化内部控制和合规管理，稳妥推进系统升级改造。包括明确内部责任分工；制定专项实施方案，审慎开展涉及交易等核心业务环节的重要信息系统升级工作；完善系统测试工作等。

　　三是定期开展系统健壮性评估，及时消除风险隐患。包括全面、准确识别数字化转型过程中的各类技术风险，确保合规与风险管理覆盖信息技术运用的各个环节；建立健全信息系统安全监测机制，设定监测指标并持续监测重要信息系统的运行状况；定期开展信息技术管理工作专项审计，深入排查信息系统架构问题及技术风险隐患，并根据审计排查情况及时整改。