2024开年首见券商因网络安全被监管点名，委托单延迟报送，最长延迟超4分钟

财联社1月3日讯（记者 林坚）券商因网络安全问题被点名，在2023年以来时常发生。就在1月3日，深圳证监局最新发布的《证券期货机构监管通讯》中，再度点名了辖区内的两家券商，这也是2024年开局以来，首次券商因网络安全问题被点名。

一是近期某券商发生网络安全事件，公司技术部门应急处置后认为处置速度快、造成影响小，不构成网络安全事件，未履行报告义务。经深圳证监局复查，该事件造成12名客户的17笔交易委托单出现延迟报送，最长延迟时间超过4分钟，属于网络安全事件。

二是某券商核心交易系统容量评估不到位，向北交所申请的报盘网关流速容量不足，导致北交所交易流量突增时报盘拥堵，部分客户报盘及撤单延迟。上述事项反映出公司网络安全应急处置和信息系统管理存在薄弱环节。

于此，深圳证监局指出，辖区各证券期货经营机构应建立健全网络安全应急处置机制，认真研判事件性质及风险等级，完善应急报告与处置流程，加强信息系统检测与容量评估，做好系统扩容的技术准备，确保交易系统安全稳定运行。

可以看到，券商网络安全事件仍是频发。2023年以来，因网络安全或相关问题被监管开具罚单的券商已至少有4家。就在一周前，2023年12月25日，黑龙江证监局刚对江海证券下发罚单，称公司存在关于IT治理、网络安全管理的内部决策、执行机制不健全，公司App个人信息保护合规性检测不充分，App强制、频繁、过度索取权限等问题，当地证监局决定对其出具警示函。

2023年3月31日、5月29日，西藏证监局、深交所陆续点名了东方财富证券，并开具罚单。据了解，东方财富证券于3月18日进行数据查询接口升级，因升级前论证测试不充分，未发现接口存在性能问题，导致交易及相关系统的安全稳定运行受到影响，且网络安全事件发生后未及时向西藏证监局、深交所报告。

到了7月13日，深圳证监局发文表示，中信证券在6月19日的网络安全事件中，存在机房基础设施建设安全性不足、信息系统设备可靠性管理疏漏等问题。彼时，首席信息官兼信息技术中心行政负责人等3名责任人也被追责。8月、9月，上交所、深交所则相继对中信证券处以书面警示。综合来看，因6月19日集中交易系统出现异常，中信证券先后遭深圳证监局、上交所、深交所点名，相关书面警示及警示函已达4张。

7月17日，上海证监局则指出华宝证券在5月的网络安全事件中，存在变更重要信息系统前未充分评估技术风险；变更重要信息系统前未制定全面的测试方案；生产运营过程中未全面记录业务日志和系统日志以确保满足故障分析需要；调查过程中向上海证监局报送的部分数据不准确不完整共4项违规行为，因此，上海证监局决定对其出具警示函。

也在同年12月21日早盘时段，多位投资者在社交媒体反映，东兴证券交易系统出现故障，投资者无法登录系统或登录之后无法进行交易。当日午间，东兴证券官网发布情况说明称，其普通交易系统延时增大，导致部分客户登录缓慢。公司立即调动资源，经紧急排查，反复测试，该问题已消除，系统服务恢复正常。

记者梳理发现，出现网络安全问题未及时向监管部门报告成为罚单的主因之一。根据证监会于2021年6月4日曾发布《证券期货业网络安全事件报告与调查处理办法》，其中第四条规定核心机构、经营机构发生网络安全事件后，应当及时、准确、完整报告，不得迟报、漏报、谎报或者瞒报。对于此，券商除了针对违规问题采取有效措施进行整改，强化交易及相关系统管理，加强变更及运维管理，完善应急处置机制，保障交易及相关系统安全稳定运行，也需要应当及时、准确、完整报告问题的出现。

整体来看，根据证监会机构部在2022年5月《机构监管情况通报》的总结，事件主要类型及反映出的问题有以下五个方面：

一是个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节；

二是主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构；

三是运维人员操作规范性不足，未能建立有效的权限管理及复核机制；

四是当前移动APP开发管理存在短板，已成为信息系统安全事件易发领域；

五是安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

中证协也提到，券商要充分发挥信息技术、合规风控、稽核审计三道防线的监控和督导作用，全面识别风险、揭示问题，定期组织各防线的内部检查、风险评估与审计，建立风险及问题闭环管理机制，确保风险及问题妥当处置。建立相应的信息科技风险监控机制，对业务开展中可能涉及网络和信息安全风险事项进行监测和评估，降低信息科技操作风险。