探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击 "合规社" > 点击右上角“···” > 设为星标⭐
近日,上海证券交易所发布了一则监管措施决定书,对某证券股份有限公司予以书面警示,该决定涉及网络安全问题。
上海证券交易所经现场检查,发现某证券公司存在四项违规行为。根据上海证券交易所的监管措施决定书显示,2024年8月20日至8月23日,上海证券交易所对某证券股份有限公司交易及相关业务管理情况实施了现场检查。经查,某证券股份有限公司存在以下四项问题:
问题一:在交易及相关系统管理方面,存在应急预案执行不到位、发生网络安全事件后未向上海证券交易所报告等问题;
问题二:在客户交易行为管理方面,存在职责分工不合理、培训制度不健全、拒绝接受客户委托后未及时向上海证券交易所报告、监控指标阈值设置不合理、重点监控账户管理薄弱、重点监控证券风险提示不到位等问题;
问题三:在融资融券业务管理方面,存在对投资者申报信息核实和交易行为前端核查不到位等问题;
问题四:在适当性管理方面,存在对投资者风险揭示不充分等问题。
其中问题一与网络安全相关:应急预案执行不到位、发生网络安全事件后未向上海证券交易所报告。
据《证券期货业网络安全事件报告与调查处理办法》第二条规定,
证券期货业网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对证券期货业网络和信息系统或者数据造成影响,发生网络和信息系统服务能力异常或者数据损毁、泄露,对国家金融安全、社会秩序、投资者合法权益造成损害的事件。
主体:证券期货业网络和信息系统(证券期货行业用于交易、结算、数据存储、信息管理等的计算机网络和信息系统)或数据(如交易数据、客户信息、财务数据、市场数据等)。原因:人为原因(如内部人员的误操作、恶意攻击、管理不善等)、软硬件缺陷或故障、自然灾害等。影响:网络和信息系统服务能力异常(系统无法正常运行,如交易中断、结算延迟、数据无法访问等),或数据损毁、泄露。结果:对国家金融安全、社会秩序、投资者合法权益造成损害。上海证券交易所对某证券公司的责任认定及监管措施决定。监管措施决定书披露,某证券公司的上述四项违规违反了《上海证券交易所会员管理规则》、《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》、《上海证券交易所会员管理规则适用指引第2号—会员客户交易行为管理》、《上海证券交易所融资融券交易实施细则》等多项规定。
反映出某证券股份有限公司交易及相关业务内部管理存在漏洞、交易及相关系统安全运行管理制度执行不到位等问题。鉴于上述违规事实和情节,上海证券交易所决定对某证券公司予以书面警示。上海证券交易所表示,某证券公司应当引以为戒,采取切实有效措施进行整改,严格遵守法律法规、上海证券交易所业务规则及相关行业规范的规定,进一步强化交易及相关业务管理,保护投资者合法权益和交易安全,保障交易及相关系统的安全稳定运行,维护证券市场正常交易秩序。
在证券期货行业,网络安全事件的应对和报告是保障市场稳定和投资者权益的关键环节。证券公司在网络安全事件的应对和报告方面有着明确的规范和要求。那么,证券公司发生网络安全事件时,该如何报告呢?
根据《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》第三十一条规定,证券公司应当建立交易及相关系统安全与应急管理的组织架构,制定应急预案,组织应急演练,具备完善的系统安全防护措施,根据中国证监会和上海证券交易所要求稳妥处置交易及相关系统安全事件。这些要求让证券公司在日常运营中有了应对网络安全事件的抓手,一旦事件发生,就能快速进入应急状态,减少损失。
同时,根据《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》第三十六条规定,证券交易及相关系统发生无法正常交易或其他影响正常交易的技术事故时,证券公司应当根据中国证监会《证券期货业信息安全事件报告与调查处理办法》的要求,立即向上海证券交易所报告,并在5个工作日内提交书面报告。
《证券期货业信息安全事件报告与调查处理办法》的详细要求:总则要求
| 1.发生网络安全事件后,应当及时、准确、完整报告,不得迟报、漏报、谎报或者瞒报。 |
系统分类与事件分级 | 1.根据网络和信息系统发生网络安全事件后,直接对国家金融安全、社会秩序、投资者合法权益造成的损害程度,网络和信息系统由高到低分为五类系统、四类系统、三类系统、二类系统和一类系统。 2.中后台业务系统发生网络安全事件后,按照受其影响的前台业务系统的类别和受影响程度,或按照其导致的投资者数据和结算金额差错、直接资金损失等,进行网络安全事件的分类分级。 3.根据服务能力异常程度,网络和信息系统服务能力异常分为严重异常、中度异常、轻度异常。 4.综合考虑网络和信息系统类别、服务能力异常程度、事件持续时间、数据损毁程度、结算金额差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度,网络安全事件分为特别重大事件、重大事件、较大事件、一般事件。 |
事件报告 | 1.应当建立网络安全风险监测预警体系,发现风险隐患应当尽快加以核实,采取必要的防范措施,如有重大情况应当及时进行预警报告。2.应当建立网络安全应急处置机制,及时处置网络安全事件,尽快恢复系统的正常运行,保护事件现场和相关证据,并进行应急报告。3.进行应急报告时应当先通过电话或事件报送平台进行报告,随后书面报送《网络安全事件情况报告书》。4.应当在网络安全事件应急处置结束、系统恢复正常运行后7个工作日内,组织内部调查,准确查清事件经过、原因和损失,查明事件性质,认定并追究事件责任,提出整改措施,并进行事件总结报告。5.接到中国证监会及其派出机构关于系统漏洞、安全隐患、产品缺陷的网络安全通报书后,应当立即核实情况,采取必要的处置措施,并根据要求进行事件总结报告。 |
报告内容 | 预警报告应当包括:事件基本情况(包括预警发生的时间、地点、经过等),可能造成的影响范围和后果,已采取的防范措施及相关建议、需要有关部门和单位协调处置的有关事宜。《网络安全事件情况报告书》书面报送内容包括:事件初步定级、事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。事件总结报告内容应当包括:(一)事件基本情况,包括事件发生时间、地点、经过、影响范围、影响程度、损失情况等;(二)应急处置情况,包括事件报告的情况、采取的措施及效果;(三)事件调查情况,包括事件原因、事件级别、责任认定和结论;(四)事件处理情况,包括事件暴露出的问题及采取的整改措施,责任追究情况。 |
| 各类系统的分类原则 |
| 对相应客体的侵害程度 |
发生网络安全事件时侵害的客体 | 一般损害 | | 特别严重损害 |
投资者合法权益 | 一类 | 二类 | 三类 |
社会秩序 | 二类 | 三类 | 四类 |
国家金融安全 | 三类 | 四类 | 五类 |
典型系统 |
| 核心机构 | 经营机构 |
五类系统 | 证券期货交易场所的集中竞价交易系统、依法应实时公布的行情系统。 | —— |
四类系统 | 除集中竞价交易系统以外的其他实时交易系统。 | 近20个交易日日均活跃用户数超过100万的实时交易系统及相关的行情系统。 |
三类系统 | 承载生产业务的行业基础通讯系统、大宗交易等业务系统。 | 1.近20个交易日日均活跃用户数超过10万但不足100万的实时交易系统及相关的行情系统; 2.近20个交易日日均活跃用户数超过100万的新股申购、基金销售等非实时交易系统,基金账户数超过1000万的基金注册登记、资金清算、会计核算等系统。 |
| 二类系统 | 1.近20个交易日日均活跃用户数超过100万的具有账户开立、信息查看功能等各类非交易业务办理功能的系统; 4.官方网站。 | 1.近20个交易日日均活跃用户数超过1000但不足10万的实时交易系统及相关的行情系统;2.近20个交易日日均活跃用户数超过10万但不足100万的新股申购、基金销售等非实时交易系统,基金账户数超过100万但不足1000万的基金注册登记、资金清算、会计核算等系统; 3.近20个交易日日均活跃用户数超过100万的具有账户开立、银证银期转账、信息查看功能等各类非交易业务办理功能的系统。 |
一类系统 | 近20个交易日日均活跃用户数不足100万的具有账户开立、信息查看功能等各类非交易业务办理功能的系统。 | l.近20个交易日日均活跃用户数不足1000的实时交易系统及相关的行情系统;2.近20个交易日日均活跃用户数不足10万的新股申购、基金销售等非实时交易系统,基金账户数不足100万的基金注册登记、资金结算、会计核算等系统;3.近20个交易日日均活跃用户数不足100万的具有账户开立、银证银期转账、信息查看功能等各类非交易业务办理功能的系统; 4.官方网站。 |
此外,去年9月,中证协下发《证券公司网络安全事件舆情处置示范案例》,旨在进一步提升证券行业应对突发网络安全事件的能力,加强网络安全事件的应急处置。其中提出,证券公司建立完善的网络安全事件的应急处置团队并明确职责分工,包括但不限于:应急领导小组、信息技术应急小组、舆情应对小组等(各公司可根据自身应急组织架构设置灵活调整)。《示范案例》提出,网络安全事件应急处置工作基本完成后,证券公司根据实际情况及时制定声誉修复方案,可采取诚恳致歉、加强管理、维护公共关系等多种方式来修复声誉,重建客户和投资者的信心和信任度。《上海证券交易所会员管理规则》
4.1.1 会员应当切实履行客户交易行为管理职责,按照“事前认识客户,事中监控交易,事后报告异常”的要求,建立完善的客户交易行为管理制度,引导客户合法合规地参与本所市场证券交易。4.1.5 会员应当完善交易监测监控系统,设定相应的监测指标和预警参数,对客户的交易行为进行监测监控,识别客户的异常交易行为。会员在监测监控中发现客户涉嫌异常交易行为的,应当及时分析。经判断确认客户交易行为存在异常的,会员应当告知、提醒、警示客户。对可能严重影响正常交易秩序的异常交易行为或者涉嫌违法违规的交易行为,会员应当根据与客户的协议拒绝接受其委托,并及时向本所报告。对于客户出现账户资产规模、交易金额异常放大等可疑情形的,会员应当及时核查分析,发现涉嫌违法违规的,应当及时向本所报告。4.1.7 会员应当按照本所要求明确交易监控重点,针对重点监控账户、重点监控证券、重点分支机构,采取针对性措施加强交易监测监控和管理。4.1.8 会员应当妥善留存客户交易行为管理的各项记录,定期汇总各分支机构的客户管理台账和客户异常交易情况。4.2.6 会员向客户提供产品或服务,应当向其详细介绍产品或服务的相关信息,明确告知产品或服务的风险收益特征,充分揭示投资风险和可能存在的利益冲突,并根据本所相关业务规则的规定与客户签署风险揭示书。6.9 会员应当定期检查交易及相关系统的安全性、稳定性,制定应急预案,并根据本所或者本所授权机构的要求,进行定期或者临时应急演练。6.10 会员的交易及相关系统出现重大故障或者其他因素影响证券市场交易的,应当立即采取有效措施,并及时向本所报告。《上海证券交易所会员管理规则适用指引第1号—会员交易及相关系统管理》
第三十一条 会员应当建立交易及相关系统安全与应急管理的组织架构,制定应急预案,组织应急演练,具备完善的系统安全防护措施,根据中国证监会和本所要求稳妥处置交易及相关系统安全事件。第三十六条 会员交易及相关系统发生无法正常交易或其他影响正常交易的技术事故时,应当根据中国证监会《证券期货业信息安全事件报告与调查处理办法》的规定,立即报告本所,并在5个工作日内向本所提交书面报告。《上海证券交易所融资融券交易实施细则》
第六十条 会员在向投资者提供融资融券服务时,应当要求投资者向会员申报其持有限售股份、解除限售存量股份情况,以及是否为上市公司董事、监事、高级管理人员和持有上市公司股份5%以上的股东等相关信息。会员应当对投资者的申报情况进行核实,并进行相应的前端控制。「 一键加入数据安全及个人信息保护领域的知识宝库」
670+已加入
⬇️⬇️⬇️
「 数据合规知识星球 」数据安全合规专业人士交流社区
- 社区汇聚了近千位来自法律、合规、安全技术等多领域的专家。
- 社区提供丰富的资源,包括图解PPT、优质课程视频、话题研讨及问答、管理制度&评估工具&报告模板、典型案例合集等。
- 社区通过链接、分享、交流的成长理念,助力安全合规专业人士持续提升。
还没有评论,来说两句吧...