网络安全事件未上报,某券商被上海证券交易所采取监管措施
问题一:在交易及相关系统管理方面,存在应急预案执行不到位、发生网络安全事件后未向上海证券交易所报告等问题;
问题二:在客户交易行为管理方面,存在职责分工不合理、培训制度不健全、拒绝接受客户委托后未及时向上海证券交易所报告、监控指标阈值设置不合理、重点监控账户管理薄弱、重点监控证券风险提示不到位等问题;
问题三:在融资融券业务管理方面,存在对投资者申报信息核实和交易行为前端核查不到位等问题;
问题四:在适当性管理方面,存在对投资者风险揭示不充分等问题。
其中问题一与网络安全相关:应急预案执行不到位、发生网络安全事件后未向上海证券交易所报告。
证券期货业网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对证券期货业网络和信息系统或者数据造成影响,发生网络和信息系统服务能力异常或者数据损毁、泄露,对国家金融安全、社会秩序、投资者合法权益造成损害的事件。
上海证券交易所表示,某证券公司应当引以为戒,采取切实有效措施进行整改,严格遵守法律法规、上海证券交易所业务规则及相关行业规范的规定,进一步强化交易及相关业务管理,保护投资者合法权益和交易安全,保障交易及相关系统的安全稳定运行,维护证券市场正常交易秩序。
根据《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》第三十一条规定,证券公司应当建立交易及相关系统安全与应急管理的组织架构,制定应急预案,组织应急演练,具备完善的系统安全防护措施,根据中国证监会和上海证券交易所要求稳妥处置交易及相关系统安全事件。这些要求让证券公司在日常运营中有了应对网络安全事件的抓手,一旦事件发生,就能快速进入应急状态,减少损失。
同时,根据《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》第三十六条规定,证券交易及相关系统发生无法正常交易或其他影响正常交易的技术事故时,证券公司应当根据中国证监会《证券期货业信息安全事件报告与调查处理办法》的要求,立即向上海证券交易所报告,并在5个工作日内提交书面报告。
| 总则要求 | 1.发生网络安全事件后,应当及时、准确、完整报告,不得迟报、漏报、谎报或者瞒报。 |
| 系统分类与事件分级 | 1.根据网络和信息系统发生网络安全事件后,直接对国家金融安全、社会秩序、投资者合法权益造成的损害程度,网络和信息系统由高到低分为五类系统、四类系统、三类系统、二类系统和一类系统。
2.中后台业务系统发生网络安全事件后,按照受其影响的前台业务系统的类别和受影响程度,或按照其导致的投资者数据和结算金额差错、直接资金损失等,进行网络安全事件的分类分级。 3.根据服务能力异常程度,网络和信息系统服务能力异常分为严重异常、中度异常、轻度异常。 4.综合考虑网络和信息系统类别、服务能力异常程度、事件持续时间、数据损毁程度、结算金额差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度,网络安全事件分为特别重大事件、重大事件、较大事件、一般事件。 |
| 事件报告 | |
| 报告内容 |
| 各类系统的分类原则 | |||
| 对相应客体的侵害程度 | |||
| 发生网络安全事件时侵害的客体 | 一般损害 |
|
特别严重损害 |
| 投资者合法权益 | 一类 | 二类 | 三类 |
| 社会秩序 | 二类 | 三类 | 四类 |
| 国家金融安全 | 三类 | 四类 | 五类 |
| 典型系统 | ||
|
|
核心机构 | 经营机构 |
| 五类系统 | 证券期货交易场所的集中竞价交易系统、依法应实时公布的行情系统。 | —— |
| 四类系统 | 除集中竞价交易系统以外的其他实时交易系统。 | 近20个交易日日均活跃用户数超过100万的实时交易系统及相关的行情系统。 |
| 三类系统 | 承载生产业务的行业基础通讯系统、大宗交易等业务系统。 |
2.近20个交易日日均活跃用户数超过100万的新股申购、基金销售等非实时交易系统,基金账户数超过1000万的基金注册登记、资金清算、会计核算等系统。 |
| 二类系统 | 4.官方网站。 | 3.近20个交易日日均活跃用户数超过100万的具有账户开立、银证银期转账、信息查看功能等各类非交易业务办理功能的系统。 |
| 一类系统 | 近20个交易日日均活跃用户数不足100万的具有账户开立、信息查看功能等各类非交易业务办理功能的系统。 | 4.官方网站。 |
《上海证券交易所会员管理规则》
4.1.1 会员应当切实履行客户交易行为管理职责,按照“事前认识客户,事中监控交易,事后报告异常”的要求,建立完善的客户交易行为管理制度,引导客户合法合规地参与本所市场证券交易。
4.1.5 会员应当完善交易监测监控系统,设定相应的监测指标和预警参数,对客户的交易行为进行监测监控,识别客户的异常交易行为。
会员在监测监控中发现客户涉嫌异常交易行为的,应当及时分析。经判断确认客户交易行为存在异常的,会员应当告知、提醒、警示客户。对可能严重影响正常交易秩序的异常交易行为或者涉嫌违法违规的交易行为,会员应当根据与客户的协议拒绝接受其委托,并及时向本所报告。
对于客户出现账户资产规模、交易金额异常放大等可疑情形的,会员应当及时核查分析,发现涉嫌违法违规的,应当及时向本所报告。
4.1.7 会员应当按照本所要求明确交易监控重点,针对重点监控账户、重点监控证券、重点分支机构,采取针对性措施加强交易监测监控和管理。
4.1.8 会员应当妥善留存客户交易行为管理的各项记录,定期汇总各分支机构的客户管理台账和客户异常交易情况。
4.2.6 会员向客户提供产品或服务,应当向其详细介绍产品或服务的相关信息,明确告知产品或服务的风险收益特征,充分揭示投资风险和可能存在的利益冲突,并根据本所相关业务规则的规定与客户签署风险揭示书。
6.9 会员应当定期检查交易及相关系统的安全性、稳定性,制定应急预案,并根据本所或者本所授权机构的要求,进行定期或者临时应急演练。
6.10 会员的交易及相关系统出现重大故障或者其他因素影响证券市场交易的,应当立即采取有效措施,并及时向本所报告。
《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》
第三十一条 会员应当建立交易及相关系统安全与应急管理的组织架构,制定应急预案,组织应急演练,具备完善的系统安全防护措施,根据中国证监会和本所要求稳妥处置交易及相关系统安全事件。
第三十六条 会员交易及相关系统发生无法正常交易或其他影响正常交易的技术事故时,应当根据中国证监会《证券期货业信息安全事件报告与调查处理办法》的规定,立即报告本所,并在5个工作日内向本所提交书面报告。
《上海证券交易所融资融券交易实施细则》
第六十条 会员在向投资者提供融资融券服务时,应当要求投资者向会员申报其持有限售股份、解除限售存量股份情况,以及是否为上市公司董事、监事、高级管理人员和持有上市公司股份5%以上的股东等相关信息。会员应当对投资者的申报情况进行核实,并进行相应的前端控制。
