证券期货业迎网安新规,特别提及“重大网络安全事件每隔30分钟上报一次事件处置情况”,完善四大内容
财联社(上海,记者 王可)讯,12月11日晚,证监会就网络安全事件相关新规征求意见,拟从四大方面完善证券期货业网络安全。
《证券期货业网络安全事件报告与调查处理办法(征求意见稿)》主要从四个方面完善相关法规:第一,对信息系统进行统一分类;第二,增加定量描述系统服务能力异常方法,并提出统一的网络安全事件分级方法;第三,完善网络安全事件报告流程;第四,处罚更具针对性和灵活性。
财联社记者梳理发现,最近三年,至少有9家券商因信息安全问题遭遇监管处罚。违规原因主要集中在交易系统故障导致客户无法正常交易,且未及时报告,但也存在核心设备老旧、营业部服务器被植入木马程序、内网安全策略不合理、SVN源代码泄漏等安全漏洞。
2020年11月23日,因存在重大信息安全事件未报告,江苏证监局对华泰证券采取出具警示函的行政监管措施。早在今年2月,华泰证券因未按规定履行客户身份识别义务、未按规定报送可疑交易报告、与身份不明的客户进行交易,被央行合计罚款1010万元。
证券期货业网络安全事件迎新规,完善4大方面
12月11日晚,证监会就《证券期货业网络安全事件报告与调查处理办法(征求意见稿)》(简称《征求意见稿》)公开征求意见。
证监会称,2012年12月印发实施的《证券期货业信息安全事件报告与调查处理办法》发挥作用的同时,需进一步完善4个方面:一是未对证券期货业信息系统进行统一分类,导致不能对部分网络安全事件进行合理定级。二是未定量描述事件级别,在实际操作中存在较大的主观性,不利于客观判定事件的影响情况。三是事件报告效率较低,不利于采取针对性的措施,容易导致事件迟报。四是处罚缺乏针对性和灵活性。
针对以上4个方面的不足,此次《征求意见稿》对证券期货业信息安全事件报告与调查处理办法主要做出以下修订。
第一,对信息系统进行统一分类。
《征求意见稿》按照信息系统发生网络安全事件后对国家金融安全、社会秩序、投资者合法权益所造成的损害程度,核心机构和经营机构的信息系统由高到低分为五类,即五类系统、四类系统、三类系统、二类系统和一类系统。
(信息系统分类表;来源:证监会)
此外,《征求意见稿》规定,对于未列在典型系统/模块表中的信息系统,如果发生网络安全事件,应首先依据分类原则进行分类,以确定信息系统的重要性。
第二,增加定量描述系统服务能力异常方法,并提出统一的网络安全事件分级方法。
根据服务能力异常程度,《征求意见稿》将信息系统服务能力异常分为严重异常、中度异常、轻度异常。具体如下:(一)严重异常,是指信息系统发生故障,服务能力异常80%以上的情形;(二)中度异常,是指信息系统发生故障,服务能力异常30%以上且未构成严重异常的情形;(三)轻度异常:是指信息系统发生故障,服务能力异常但未构成严重异常、中度异常的情形。
《征求意见稿》根据交易撮合类、行情计算发布类、结算类、开户类、网站类系统等提供服务的差异性给出了服务能力异常计算公式。
(证券期货交易类服务能力异常比例计算公式;来源:证监会)
另外,《征求意见稿》综合考虑信息系统分类、服务能力异常、事件持续时间、数据损毁、结算金额差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度,网络安全事件分为特别重大事件、重大事件、较大事件、一般事件。
(特别重大事件的五种情形;来源:证监会)
第三,完善网络安全事件报告流程。
《征求意见稿》要求信息系统发生故障可能构成网络安全事件的都应该报告;要求机构对事件初步定级,对可能构成特别重大、重大网络安全事件的,每隔30分钟至少上报一次事件处置情况,直至信息系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告。
第四,处罚更具针对性和灵活性。
《征求意见稿》对于存在明显过错疏忽、社会影响较大的事件可酌情提高事件的定级,对未发现明显过错、影响较小的事件,可酌轻或不认定为网络安全事件处理。
(可酌情从轻分级或不认为网络安全事件的情况;来源:证监会)
另外,因结算系统等中后台业务系统的实时性不强,《征求意见稿》未对结算系统进行分类,也未依据结算系统故障时间进行事件分级,而是按照受其影响的前台业务系统的类别和受影响程度,或按照其导致的投资者数据和结算金额差错、直接资金损失等,进行结算系统等中后台业务系统网络安全事件的分类分级。
近三年至少9家券商因信息安全问题遭监管处罚
2020年11月23日,江苏证监局对华泰证券采取出具警示函的行政监管措施。经查,华泰2019年8月存在重大信息安全事件未报告,违反相关规定。
早在今年2月,华泰证券因未按规定履行客户身份识别义务、未按规定报送可疑交易报告、与身份不明的客户进行交易,被央行合计罚款1010万元。
今年5月,西藏证监局向华林证券出具警示函。西藏证监局在日常监管中发现华林证券存在以下问题:部分互联网渠道交易系统于2019年9月16日全部中断57分29秒,影响客户正常业务办理,未及时报告,并在证监局电话督促后,存在迟报情况。
财联社记者梳理证监系统罚单显示,最近三年,至少有9家券商因信息安全问题遭遇监管处罚。
具体而言,违规原因主要集中在交易系统故障导致客户无法正常交易,且未及时报告,但也存在核心设备老旧、营业部服务器被植入木马程序、内网安全策略不合理、SVN源代码泄漏等安全漏洞。