北京4月6日讯 中国证监会深圳监管局网站日前发布的《深圳证监局关于对招商证券股份有限公司采取责令改正措施的决定》(行政监管措施决定书(2022)47号)显示,经查,招商证券股份有限公司(以下简称“招商证券,600999.SH”)在2022年3月14日的网络安全事件中,存在变更管理不完善,应急处置不及时、不到位等问题。上述行为违反了《证券期货业信息安全保障管理办法》(证监会令第82号)第二十二条、第三十二条第一款以及《证券基金经营机构信息技术管理办法》(证监会令第179号)第二十二条第一款、第三十六条、第四十二条的相关规定。
依据《证券期货业信息安全保障管理办法》第五十条,《证券基金经营机构信息技术管理办法》第五十七条,以及《证券期货业网络安全事件报告与调查处理办法》(证监会公告〔2021〕12号)第二十八条的规定,深圳证监局决定对招商证券采取责令改正的行政监管措施。深圳证监局要求招商证券应进一步加强重要信息系统建设的统筹规划,充分了解系统架构及内部运行机制,强化研发、测试、上线、升级变更及运维管理,完善应急处置机制,保障关键岗位人员的专业能力和数量配置,确保信息系统安全平稳运行;同时公司应对此次事件相关责任人员进行内部责任追究,公司应于3个月内完成上述整改工作并报送整改报告。
据界面新闻报道,3月14日早开盘后,招商证券app被投资者反馈称服务器出现问题,看不到历史委托/成交情况。“招商证券崩了”登上微博热搜。彼时有使用人士告诉界面新闻,直到当天下午,招商证券app还没有完全恢复,存在一定延迟。招商证券相关人士回应界面新闻,当日早上开盘后,招商证券所有交易委托都已实时传送至交易所系统,但是由于成交回报处理延迟,部分客户在客户端未及时收到成交回报信息,撤单交易受到影响。
《证券期货业信息安全保障管理办法》(证监会令第82号)第二十二条规定:核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。
《证券期货业信息安全保障管理办法》第三十二条规定:核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
《证券期货业信息安全保障管理办法》第五十条规定:核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
《证券基金经营机构信息技术管理办法》(证监会令第179号)第二十二条规定:证券基金经营机构重要信息系统上线或发生重大变更的,应当制定专项实施方案,并对信息系统上线或变更操作行为进行审查、确认和跟踪。证券基金经营机构重要信息系统计划停止使用的,应当开展技术和业务影响评估,制定完整的系统停用和数据迁移保管方案,并组织必要的评审及停用后的安全检查。
《证券基金经营机构信息技术管理办法》(证监会令第179号)第三十六条规定:证券基金经营机构借助信息技术手段从事证券基金业务活动的,应当建立信息技术应急管理的组织架构,确定重要业务及其恢复目标,制定应急预案,配置充足资源,稳妥处置信息技术突发事件,并积极开展应急演练和信息技术应急管理的评估与改进。
《证券基金经营机构信息技术管理办法》(证监会令第179号)第四十二条规定:证券基金经营机构应当按照中国证监会有关规定,建立信息安全事件的分级响应机制,明确内部处置工作流程,确保相关信息系统及时恢复运行。
《证券基金经营机构信息技术管理办法》第五十七条规定:证券基金经营机构违反本办法规定的,中国证监会及其派出机构可以依法对其采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措施;对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施。
《证券期货业网络安全事件报告与调查处理办法》(证监会公告〔2021〕12号)第二十八条规定:核心机构、经营机构在研发、测试、上线及运维等系统管理过程中未能严格执行相关法律法规和行业相关技术管理规定、技术规则、技术指引和技术标准,造成网络安全事件的,中国证监会及其派出机构依照有关法律、行政法规和规章,对事件相关机构及其负责人员采取监督管理措施或者实施行政处罚。事件相关机构应当对相关责任人员进行内部责任追究。
以下为原文:
深圳证监局关于对招商证券股份有限公司采取责令改正措施的决定
招商证券股份有限公司:
经查,你公司在2022年3月14日的网络安全事件中,存在变更管理不完善,应急处置不及时、不到位等问题。上述行为违反了《证券期货业信息安全保障管理办法》(证监会令第82号,以下简称《信息安全保障管理办法》)第二十二条、第三十二条第一款以及《证券基金经营机构信息技术管理办法》(证监会令第179号,以下简称《信息技术管理办法》)第二十二条第一款、第三十六条、第四十二条的相关规定。
依据《信息安全保障管理办法》第五十条,《信息技术管理办法》第五十七条,以及《证券期货业网络安全事件报告与调查处理办法》(证监会公告〔2021〕12号)第二十八条的规定,我局决定对你公司采取责令改正的行政监管措施。你公司应进一步加强重要信息系统建设的统筹规划,充分了解系统架构及内部运行机制,强化研发、测试、上线、升级变更及运维管理,完善应急处置机制,保障关键岗位人员的专业能力和数量配置,确保信息系统安全平稳运行;同时你公司应对此次事件相关责任人员进行内部责任追究。你公司应于3个月内完成上述整改工作并向我局报送整改报告。
如对本行政监管措施不服,你公司可在收到本决定书之日起60日内向中国证监会提出行政复议申请,也可在收到本决定书之日起6个月内向有管辖权的人民法院提起诉讼。复议与诉讼期间,上述行政监管措施不停止执行。
深圳证监局
2022年4月1日
责任编辑:Rex_07