上海辖区证券期货机构监管信息通报
2017第5期 (证券第3期 总第59期)
提升信息技术工作水平 服务保障党的十九大信息安全
为加强信息技术监管,提高证券行业信息安全保障水平,前
期,我局按照机构部统一部署,组织辖区 16 家证券公司开展了信
息技术专项自查,并选取了 2 家证券公司进行了现场检查,现将
梳理汇总的各公司自查及我局检查发现的情况和问题予以通报,
并提出监管要求。
一、问题通报
根据各公司自查,结合我局现场检查,辖区证券公司信息技
术安全工作存在以下情况和问题:
(一)信息技术治理、信息技术合规管理、信息系统安全管
理方面
1.信息技术治理不完善。有的公司 IT 治理工作制度不健全,
或未根据公司实际情况变化进行及时修订;有的公司 IT 治理委员
会不满足每季度至少召开一次会议的指引要求,甚至长期不召开
会议;有的公司未及时根据公司组织架构的调整,相应调整 IT 治
理委员会的组成。
1
2.信息技术合规管理不足。有的公司未在合规部门内部设置
信息技术合规及风险管理岗位,未在稽核部门内部设置信息技术
内审岗位,即便是已设置此类岗位的公司,有的在岗人员也不具
备 IT 背景,难以有效履行 IT 风控合规内审等职责;有的公司未按照《证券期货业信息系统审计指南》等要求完善 IT 审计相关制度; 有的公司未在制度中明确规定,当发生较大(含)以上级别信息安全事件、或频繁发生信息安全事件时,内审部门须对相关信息技术系统开展专项审计,有的公司虽有规定但实践中并未严格执行;有的公司风控、合规等部门在信息系统建设阶段、管理运行阶段参与较少,尤其是参与系统变更管理的职责不明晰。
3.信息安全管理有待加强。有的公司尚未开展信息科技风险评估活动,或风险评估尚未实现全面覆盖;有的公司未将风险评估结果提交 IT 治理委员会审定,未向管理层报告,也未向公司业务、合规等部门传达;有的公司对较大信息安全事件专项审计发现的问题,未及时跟踪整改并留痕;有的公司介质管理、权限管理制度还不完善,或未严格按制度要求执行。
4.对供应商的管理不到位。有的公司在相关合同中对供应商的约束条款(如保密、合规、延伸检查等)不完备,未约定供应商须接受中国证监会及其派出机构的信息安全延伸检查,未要求供应商承诺“产品不存在恶意代码或未授权的功能,不提供违反我国法律法规的功能模块,并符合证券期货行业有关技术规范和技术指引”;有的公司未在制度中规定核心系统供应商须提供年度安全审计报告。
(二)网络安全管理、防护措施方面
2
1.网络漏洞扫描工作及入侵检测执行不到位。有的公司未定
期开展漏洞扫描,致使系统中长期存在相当数量的漏洞;有的公
司对漏洞扫描的结果未予足够重视,存在不及时升级修补重要漏
洞的情况。
2.网络边界管理防护能力有待进一步加强。有的公司网络安
全防护设备配备不全,未配备入侵防御系统(IPS)、入侵检测系
统(IDS);有的公司对于DDos 攻击等防护能力不足,未与通信运
营商签订 DDoS 清洗服务或建立类似异常处理机制;有的公司测
试环境管理不严,存在被入侵的安全隐患。
(三)信息系统备份能力建设和应急预案制定方面
1.备份能力不完善。有的公司尚未建成“两地三中心”的灾
备体系;有的公司核心信息系统尚未纳入同城灾备范围;有的公
司异地灾备尚未达到应用级水平。
2.性能容量管理有待提高。有的公司尚未制定信息系统性能
管理和容量管理制度;有的公司未定期对网络带宽、重要业务系
统处理能力、存储空间等进行容量压力测试。
3.应急预案有待完善。有的公司尚未针对十九大等特殊敏感
时期制定专项信息安全保障预案;有的公司虽有专项预案但仅停
留在信息技术部门内部,未上升到公司层面,实际执行缺乏资源
调动能力;有的公司应急预案缺乏组织执行架构,预案未明确流
程启动决策人、发布人等相关责任人岗位,未包含各相关部门参
与;有的公司应急预案尚未考虑信息技术服务商发生重大变更、
公司核心信息技术团队发生重大变动等场景;有的公司应急预案
3
尚未包含异地灾备等相关内容。
4. 信息安全演练的频度、深度不够。有的公司无自发自主的信息安全演练计划,仅参加全行业每年一度的统一信息安全演练;有的公司信息安全演练未完全覆盖公司各层面和有关部门;有的公司信息安全演练流于形式,实际操作性和效果不佳,发生信息安全事件时,仍不熟悉操作应对流程;有的公司对信息安全演练中发现的问题不及时进行反思总结,整改不到位。
(四)与特定业务相关的信息系统管理方面
有的公司尚未采取技术措施,防范出现 PB 客户通过按键精灵等类似软件变通实现投资建议批量审批功能的情况。有的公司在产品客户开立股票期权等交易账户时,未登记产品结构、持有人类别、期限及收益特征。有的公司使用的融资融券系统支持不偿还任何负债的违规参数设置,系统尚未实现对客户绕标套现的有效监测。
二、监管要求
各机构应高度重视以上通报的情况和问题,逐一对照进行自
我检视,有则改之,无则加勉,并举一反三,努力查找和堵塞可
能存在的信息安全漏洞隐患,采取稳妥有效措施,加强薄弱环节
建设,确保公司信息系统安全稳定运行。具体要求如下:
1.各机构主要负责人应时刻牢记信息安全第一责任人的职
责,全面掌握公司信息安全方面的情况和存在的问题,及时决策
部署,跟踪督办落实。公司 IT 治理委员会应切实履行信息技术治
理和信息安全责任,不断完善 IT 治理工作制度并有效执行。各机
构应加大对信息技术和安全的资源投入,从人员配备、设备购置、
4
架构支持、制度完善、流程优化等方面给予充分地保障。
2.各机构应坚持“信息安全任何时候都不能迁就于业务发展
和客户需求”的原则,坚守信息安全底线。要有计划地开展全面
的信息科技风险评估活动,并向管理层报告。要加强 IT 技术的合
规风控内审管理,将其贯穿于系统建设、变更、运维的全过程。
要努力减少系统性故障的影响范围和程度,消除人为因素引发信
息安全事件的隐患。要从技术上切断业务合规风险和数据安全风
险,对借助信息技术手段从事证券期货相关业务的合规风险、信
息系统安全风险、数据安全风险要进行全面评估并留痕。对信息
安全事件暴露出的问题要积极整改。要加强内外部系统的安全管
理,重视网络安全漏洞扫描并及时修补,及时配备软硬件设备,
购买相应保障服务,不断提升网络防护能力。要提高技术自主研
发能力,加强完善对供应商的管理。
3.各机构应在公司层面及时制定、修订十九大等特殊敏感时
期信息安全保障专项预案,明确组织执行架构和工作流程安排。
应急预案要具备可操作性,不能仅“停留纸面、挂在墙上”。应加
强多场景的应急预案实操演练,发现问题及时完善。应加强信息
系统备份能力的建设,保证重要信息系统发生故障时,能够迅速
切换,切实做到“系统不断,数据不乱”。
4.各机构原则上应使用开发商标准版 PB 交易系统,关闭自动
审批功能,对客户 MAC 地址进行白名单控制,并不得提供分账户、
子账户、虚拟账户等功能;要采取必要技术手段防范客户使用按
键精灵等类似软件,变通实现投资建议批量审批。各机构所使用
的融资融券交易系统不得存在违规参数设置(如支持不偿还任何
5
负债的设置),存在参数设置风险的应与系统开发商反映,妥善进
行系统升级;在两融系统暂不具备限制客户绕标套现功能的情况
下,应加强对客户绕标套现的人工监测。
各机构应进一步增强政治意识和大局意识,不断提升信息技
术工作水平,有效落实责任,强化信息安全服务保障。各机构应
在最近召开一期 IT 治理委员会会议,专题讨论本通报提到的问
题,拟定公司对照自检后的整改落实方案,并提交管理层审议。
各机构原则上应于 9 月底前完成对照自检问题的整改并向我局报
告。若机构未及时对照整改本通报所列具体问题,致发生较大(含)
以上信息安全事件的,或今后在我局信息安全检查中再次发现通
报所列问题的,我局将严肃采取监管措施。
6 原文pdf下载
上海辖区证券期货机构监管信息通报(2017第5期+证券第3期+总第59期).pdf
链接: https://pan.baidu.com/s/1dFs4Qv3 密码: |