證券期貨業迎網安新規,特別提及「重大網絡安全事件每隔30分鐘上報一次事件處置情況」,完善四大內容

財聯社 發佈 2021-08-05T15:49:49.082511+00:00

財聯社(上海,記者 王可)訊,12月11日晚,證監會就網絡安全事件相關新規徵求意見,擬從四大方面完善證券期貨業網絡安全。

財聯社(上海,記者 王可)訊,12月11日晚,證監會就網絡安全事件相關新規徵求意見,擬從四大方面完善證券期貨業網絡安全。

《證券期貨業網絡安全事件報告與調查處理辦法(徵求意見稿)》主要從四個方面完善相關法規:第一,對信息系統進行統一分類;第二,增加定量描述系統服務能力異常方法,並提出統一的網絡安全事件分級方法;第三,完善網絡安全事件報告流程;第四,處罰更具針對性和靈活性。

財聯社記者梳理髮現,最近三年,至少有9家券商因信息安全問題遭遇監管處罰。違規原因主要集中在交易系統故障導致客戶無法正常交易,且未及時報告,但也存在核心設備老舊、營業部伺服器被植入木馬程序、內網安全策略不合理、SVN原始碼泄漏等安全漏洞。

2020年11月23日,因存在重大信息安全事件未報告,江蘇證監局對華泰證券採取出具警示函的行政監管措施。早在今年2月,華泰證券因未按規定履行客戶身份識別義務、未按規定報送可疑交易報告、與身份不明的客戶進行交易,被央行合計罰款1010萬元。

證券期貨業網絡安全事件迎新規,完善4大方面

12月11日晚,證監會就《證券期貨業網絡安全事件報告與調查處理辦法(徵求意見稿)》(簡稱《徵求意見稿》)公開徵求意見。

證監會稱,2012年12月印發實施的《證券期貨業信息安全事件報告與調查處理辦法》發揮作用的同時,需進一步完善4個方面:一是未對證券期貨業信息系統進行統一分類,導致不能對部分網絡安全事件進行合理定級。二是未定量描述事件級別,在實際操作中存在較大的主觀性,不利於客觀判定事件的影響情況。三是事件報告效率較低,不利於採取針對性的措施,容易導致事件遲報。四是處罰缺乏針對性和靈活性。

針對以上4個方面的不足,此次《徵求意見稿》對證券期貨業信息安全事件報告與調查處理辦法主要做出以下修訂。

第一,對信息系統進行統一分類。

《徵求意見稿》按照信息系統發生網絡安全事件後對國家金融安全、社會秩序、投資者合法權益所造成的損害程度,核心機構和經營機構的信息系統由高到低分為五類,即五類系統、四類系統、三類系統、二類系統和一類系統。

(信息系統分類表;來源:證監會)

此外,《徵求意見稿》規定,對於未列在典型系統/模塊表中的信息系統,如果發生網絡安全事件,應首先依據分類原則進行分類,以確定信息系統的重要性。

第二,增加定量描述系統服務能力異常方法,並提出統一的網絡安全事件分級方法。

根據服務能力異常程度,《徵求意見稿》將信息系統服務能力異常分為嚴重異常、中度異常、輕度異常。具體如下:(一)嚴重異常,是指信息系統發生故障,服務能力異常80%以上的情形;(二)中度異常,是指信息系統發生故障,服務能力異常30%以上且未構成嚴重異常的情形;(三)輕度異常:是指信息系統發生故障,服務能力異常但未構成嚴重異常、中度異常的情形。

《徵求意見稿》根據交易撮合類、行情計算髮布類、結算類、開戶類、網站類系統等提供服務的差異性給出了服務能力異常計算公式。

(證券期貨交易類服務能力異常比例計算公式;來源:證監會)

另外,《徵求意見稿》綜合考慮信息系統分類、服務能力異常、事件持續時間、數據損毀、結算金額差錯數額、直接資金損失以及對國家金融安全、社會秩序、投資者合法權益造成損害的程度,網絡安全事件分為特別重大事件、重大事件、較大事件、一般事件。

(特別重大事件的五種情形;來源:證監會)

第三,完善網絡安全事件報告流程。

《徵求意見稿》要求信息系統發生故障可能構成網絡安全事件的都應該報告;要求機構對事件初步定級,對可能構成特別重大、重大網絡安全事件的,每隔30分鐘至少上報一次事件處置情況,直至信息系統恢復正常運行;對較大和一般網絡安全事件,第一次上報後,無須持續上報事件處置情況;如有重要情況應當立即報告。

第四,處罰更具針對性和靈活性。

《徵求意見稿》對於存在明顯過錯疏忽、社會影響較大的事件可酌情提高事件的定級,對未發現明顯過錯、影響較小的事件,可酌輕或不認定為網絡安全事件處理。

(可酌情從輕分級或不認為網絡安全事件的情況;來源:證監會)

另外,因結算系統等中後台業務系統的實時性不強,《徵求意見稿》未對結算系統進行分類,也未依據結算系統故障時間進行事件分級,而是按照受其影響的前台業務系統的類別和受影響程度,或按照其導致的投資者數據和結算金額差錯、直接資金損失等,進行結算系統等中後台業務系統網絡安全事件的分類分級。

近三年至少9家券商因信息安全問題遭監管處罰

2020年11月23日,江蘇證監局對華泰證券採取出具警示函的行政監管措施。經查,華泰2019年8月存在重大信息安全事件未報告,違反相關規定。

早在今年2月,華泰證券因未按規定履行客戶身份識別義務、未按規定報送可疑交易報告、與身份不明的客戶進行交易,被央行合計罰款1010萬元。

今年5月,西藏證監局向華林證券出具警示函。西藏證監局在日常監管中發現華林證券存在以下問題:部分網際網路渠道交易系統於2019年9月16日全部中斷57分29秒,影響客戶正常業務辦理,未及時報告,並在證監局電話督促後,存在遲報情況。

財聯社記者梳理證監系統罰單顯示,最近三年,至少有9家券商因信息安全問題遭遇監管處罰。

具體而言,違規原因主要集中在交易系統故障導致客戶無法正常交易,且未及時報告,但也存在核心設備老舊、營業部伺服器被植入木馬程序、內網安全策略不合理、SVN原始碼泄漏等安全漏洞。

關鍵字:
#finance #財經 #財聯社

MAGICOM美肌之鏡_絲蜜緊潤香凝膠

售價 NT$ 1,680-6,720

Nature Tree_玫瑰抗皺_精華液

售價 NT$ 990

【Dr.愛伊】專利KD魚油軟膠囊

售價 NT$ 890-2,280

Nature Tree_保濕濃縮_精華液

售價 NT$ 990

【amz嚴選】質感刺繡速乾毛巾_伴手禮精選

售價 NT$ 190

Nature Tree_夏日控油_精華液

售價 NT$ 990

MAGICOM美肌之鏡_專業抗熱調理_護髮乳霜

售價 NT$ 1,280-1,680

【amz嚴選】瞬間去污美妝清潔碗

售價 NT$ 290