4月7日,北京证监局官网显示,因在2021年交易系统发生较大信息安全事件且应急处理不当,首创证券于4月1日被北京证监局采取责令整改的行政监管措施。
图为北京证监局4月7日发布的关于首创证券的罚单
据了解,首创证券于2021年5月18日发生集中交易系统部分中断,影响交易时间合计约20分钟,按照《证券期货业信息安全事件报告与调查处理办法》第十二条规定,该事件达到较大信息安全事件标准。经北京证监局事后调查发现,首创证券信息技术部门有关人员在应急处置过程中删除相关日志及数据库信息,且未进行备份,导致始终无法确定本次信息安全事件的真实原因,公司在第一次报告中未如实报告应急处理不当的情况。
对此,北京证监局认为,首创证券在信息安全管理和信息安全事件应对方面存在缺陷,违反了《证券基金经营机构信息技术管理办法》相关规定。
针对罚单一事,首创证券回应称:公司高度重视本次事件,在事件发生后,公司立即成立了应急处置及整改工作小组,在北京证监局要求下完成了该事故的自查和整改。下一步,公司将按照北京证监局相关要求对信息系统进行全面自查,加强信息系统安全保障管理及信息技术人员培训,提高信息系统运维能力,尽量杜绝此类事件的再次发生。目前公司经营管理一切正常,所有工作都在正常推进中。
财联社记者注意到,今年4月以来,不到一周,已有券商因为相同的错误而被监管处罚。4月2日,深圳证监局发布公告称,招商证券(600999)在3月14日网络安全事件中存在变更管理不完善,应急处置不及时、不到位等问题,决定对其采取责令改正措施。
罚单虽震聩一时,但警钟一直敲响。证券行业业绩稳健增长,资本实力不断增强的同时,伴随着行业数字化转型的快速发展,交易系统的安全性与稳定性更是行业的生命线。
有北京一家券商信息技术负责人对财联社记者谈到,提升IT系统的承受能力,加大对系统的资金投入,并更好地优化系统设计,一直是行业重中之重,市场震荡加剧,意外冲击因素很多,因此加大投入就更加重要。
首创证券被定性为较大信息安全事件
据记者观察,这也是首创证券今年以来第二次收到罚单,第一次是在2月16日,首创证券贵阳都司路证券营业部因员工无证上岗、开户二维码违规使用等情况被贵州证监局采取出具警示函的监督管理措施。
本次处罚,北京证监局将首创证券交易系统发生的事故定性为较大信息安全事件。据了解,2020年新修订的《证券期货业信息安全事件报告与调查处理办法》对“较大事件”进行了定义:即证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断,影响交易时间累计在5分钟以上的;第三方存管系统、融资融券系统全部或者部分停止运行,影响业务时间累计30分钟以上。
首创证券指出,公司此次发生的交易系统故障属于偶发事故,在处理过程中也确实有经验不足的地方,事故发生后,公司高层高度重视,积极配合监管要求进行严格内查,主动处置并落实监管要求,不断完善内控制度、优化业务流程、加强培训教育、提高员工合规意识,力争类似事件不再发生。
北京证监局要求首创证券应对信息安全相关问题进行全面自查,切实提高系统运维保障能力和故障原因排查能力,完善信息安全应急处理工作机制,加强信息技术人员培训,确保其履职能力,杜绝类似问题再次发生。
与此同时,北京证监局也指出,如果对该监督管理措施不服,可在收到本决定书之日起60日内向证监会提出行政复议申请,也可以在收到本决定书之日起6个月内向有管辖权的人民法院提起诉讼。复议与诉讼期间,上述监督管理措施不停止执行。
交易系统出现问题,与券商对IT投入的重视程度紧密相连,虽然系统事故具有偶然性,但与先期的投入与重视也密不可分。财联社记者注意到,据中国证券业协会披露的券商2020年IT投入排名情况,首创证券信息技术投入为5877万元,较2019年提高765万元,在102家证券机构内排名第82名,较2019年排名提升了1位,总体排名相对靠后。
IT投入加速,但事故依然上演
近三年来,证券行业对信息科技重视程度不断增强,行业信息技术投入逐年增长。根据今年26家已披露年报数据的券商情况,21家券商IT投入已合计达到138.54亿元,较2020年同比增36.84%,IT投入依然是券业发展的关键词、助推剂。
但与此同时,2020年以来,仍有多家券商或交易平台的交易系统出现故障,因此受到监管处罚,这反映出券业信息技术建设有不足之处,信息基础建设应该是券商不可忽略的展业前提之一。
2020年3月,西藏证监局称,华林证券部分互联网渠道交易系统于2019年9月16日9时44分42秒至10时42分11秒之间全部中断57分29秒,影响客户正常业务办理,未及时向该局报告。在该局9月17日17时40分进行电话督促后,华林证券于9月18日向该局报送了《信息安全事件情况报告书》,存在迟报情况。
同年11月,上海证监局称,国泰君安在信息技术管理方面存在未按规定对信息系统故障进行应急报告,客户信息管控不足,且内部审查未充分遵循业务合规原则等方面的问题;江苏证监局称,华泰证券(601688)在2019年8月存在重大信息安全事件未报告。
2021年5月,山东证监局称,中泰证券未及时监测发现2021年3月21日发生的信息安全事件,反映出公司信息系统安全监测机制不健全。
同年10月,浙江证监局称,发现28日上午浙江同花顺(300033)网络科技有限公司“同花顺”APP出现异常,同时在新浪微博等媒体出现舆情事件,对市场造成严重影响,该公司未立即报告上述信息系统异常情况,在浙江证监局工作人员向该公司了解相关情况后,截至当日下午3时,该公司仍未向浙江证监局报告此次信息系统异常的原因及处置情况。
转型不够稳固、钱或用不到位
每年花费资金进行技术升级,为何交易系统还是呈现出了“脆弱”的一面?接受财联社记者采访的券业人士指出,尽管IT投入迅猛,但券商数字化转型根基还不够稳固,例如存在数据体系不完善、数仓等关键基础设施薄弱、系统架构灵活性欠缺等方面。
数字化转型根基不够稳固,也与数字化人才配置不足有着分不开的因果联系。根据证券业协会在2020年8月发布的《关于推进证券行业数字化转型发展的研究报告》,人才储备方面,数字化人才支撑不足;据波士顿咨询《券商数字化转型破局之道》报告,虽然近年来国内券商从未停止扩充科技人才队伍的步伐,但相比国际领先投行,科技人才建设水平仍有较大提升空间。
此外,上述券业人士还坦言,信息投入金额多,并不意味着是券商对技术升级有着渴求,而是有着分类评级的压力,因此,钱是否用在刀刃上也很难说。2020年监管对券商分类评级指标进行了修订,根据修订后的《证券公司分类监管规定》,信息技术投入金额位于行业平均数以上,且投入金额占营业收入的比例位于行业前5名、前10名、前20名的,分别加2分、1分、0.5分。
财联社记者梳理多份罚单后发现,监管层针对交易系统对券商提出了很多期许与具体要求。监管部门对于券商交易系统的整改要求多集中在“切实提高系统运维保障能力和故障原因排查能力”“完善信息安全应急处理工作机制”“加强信息技术人员培训”等方面,涵盖机制建设、队伍建设。
据《证券基金经营机构信息技术管理办法》第三十六条规定,证券基金经营机构借助信息技术手段从事证券基金业务活动的,应当建立信息技术应急管理的组织架构,确定重要业务及其恢复目标,制定应急预案,配置充足资源,稳妥处置信息技术突发事件,并积极开展应急演练和信息技术应急管理的评估与改进;据第四十二条规定,证券基金经营机构应当按照中国证监会有关规定,建立信息安全事件的分级响应机制,明确内部处置工作流程,确保相关信息系统及时恢复运行。
关键词: 首创证券信息安全