本報記者 周尚伃
近年來,證券行業信息安全事件時有發生,加強券商網絡與信息系統的安全穩定運行保障體系建設迫在眉睫。2023年以來,證券行業中的“券茅”(東方財富證券)及“券商一哥”(中信證券)就均因相關網絡安全事件,被監管部門“點名”。
7月13日,深圳證監局對中信證券及三名相關人員出具警示函。其內容顯示,經查,深圳證監局發現中信證券在2023年6月19日的網絡安全事件中,存在機房基礎設施建設安全性不足,信息系統設備可靠性管理疏漏等問題。公司應認真落實網絡安全責任制,強化網絡和信息安全工作,吸取事件教訓,舉一反三,徹查風險隱患,對相關問題進行全面整改。
不僅是中信證券,3月31日,西藏證監局對東方財富證券也采取了責令改正措施。監管公開信息顯示,東方財富證券在2023年3月21日的網絡安全事件中,存在信息系統升級論證測試不充分、未及時報告網絡安全事件的問題,責令東方財富證券對此次事件相關責任人員進行內部責任追究,并妥善處置此次事件引發的投資者訴求。
“近年來,證券公司因交易軟件宕機導致業務中斷的問題屢上熱搜,而監管在經調查后也經常認定造成原因是證券公司‘信息系統升級論證測試不充分’。”畢馬威中國近期發布的報告提出,證券公司應強化和細化重要信息系統的開發及變更流程中風控、測試、驗證、應急、回退環節等要求,充分評估技術和業務風險,制定風險防控措施、應急處置和回退方案。同時,證券公司應組建與系統規模相匹配的測試人員或團隊,設置合理的開發與測試人員配比。在重要信息系統上線、變更前應當制定全面的測試方案,持續完善測試用例和測試數據,并保障測試的有效執行。
近年來,雖然證券行業資產規模持續增長、盈利能力不斷提升,但行業整體信息技術投入不足、信息系統架構落后、信息技術管理能力欠缺等,已成為長期制約行業信息系統安全的主要問題。
6月份,中證協印發的《證券公司網絡和信息安全三年提升計劃(2023-2025)》(以下簡稱《安全提升計劃》)明確提出,鼓勵有條件的券商2023年至2025年三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的10%或平均營業收入的7%,擬投入金額較此前征求意見稿中的比例進一步抬升。
從上市券商信息技術的投入來看,2022年,華泰證券、中金公司、國泰君安、海通證券、招商證券、中信建投、廣發證券、中國銀河等8家券商的信息技術投入均超10億元,華林證券、方正證券的信息技術投入同比增幅均超20%。