券商完善网络安全事件应对机制 加强投资者保护
炒股就看,权威,专业,及时,全面,助您挖掘潜力主题机会!
本报记者 周尚伃
见习记者 于 宏
日前,记者从券商人士处获悉,为推动券商加强网络与信息系统安全稳定运行保障体系和能力建设,减少网络安全事件的发生,提升网络安全事件舆情处置能力,中证协近期向券商下发了《证券公司网络安全事件舆情处置示范案例》(以下简称《示范案例》),以进一步完善证券行业网络安全事件应对机制,完善网络安全事件舆情处置应对流程,加强投资者保护,维护行业形象和市场稳定。
进一步规范
网络安全事件舆情处理机制
近年来,券商网络安全事件时有发生,对资本市场的安全平稳运行造成较大冲击。今年5月份,上海证监局因某券商“投资者个人信息处理、安全防护、审计监督等管理机制存在缺陷,导致个人信息使用过程中发生信息安全问题”,对该券商出具警示函。去年12月份,有一家券商出现系统“宕机”事件,该券商表示“因普通交易系统延时增大,导致部分客户登录缓慢”,并对投资者致歉。
《示范案例》要求在网络安全事件发生并引发舆情时,券商应通过主动有效地识别、评估网络安全事件舆情带来的风险,快速响应和高效处置,诚信专业地回应投资者的关注,最大程度地防范和降低网络安全事件对公司和投资者造成的损失和负面影响,积极维护行业声誉。
具体来看,《示范案例》主要分为五部分:一是网络安全事件舆情处置工作总则;二是网络安全事件应急组织及职责分工;三是网络安全事件舆情分级;四是网络安全事件舆情应对工作机制及应急处置流程等;五是附件,包括网络安全事件舆情应急处置场景。
《示范案例》结合券商组织结构与舆情应对经验,提出了应急组织设置的一般形式、分工及其具体职责,包括但不限于成立:应急领导小组、信息技术应急小组、舆情应对小组等。同时,网络安全事件舆情处置工作应秉承审慎处置、快速处置、客户第一、及时报告等原则,通过设立网络安全事件舆情等级判定指标并赋分,判定为轻度、中度、严重、特别严重等四项级别。
通过分析总结券商网络舆情的共性和代表性问题,《示范案例》提出了网络安全事件应急处置工作机制、舆情监测与分析工作机制、投资者投诉处理工作机制等。同时,为确保券商在出现网络安全事件后即刻启动舆情应对程序,主动应对和积极控制网络安全事件舆情,明确了舆情应急处置流程、客户投诉处理流程、投资者沟通流程等。
易观分析高级分析师田杰对《证券日报》记者表示:“券商应积极落实《证券公司网络和信息安全三年提升计划(2023-2025)》等文件精神,加大信息科技投入力度,促进网络和信息安全程度稳步提升,打造更高质量的信息系统和服务生态。”
加大信息技术投入
多措并举提升网络安全水平
据记者梳理,2023年披露了信息技术投入数据的40家上市券商中,有15家券商信息技术投入超过5亿元;32家券商信息技术投入实现同比增长,其中19家券商同比增长超10%。
在具体举措方面,建立健全信息技术风险管理制度,强化重点领域风险防控,深入开展隐患排查整治,持续加强风险监测预警,落实网络安全责任制,建立健全网络和信息安全技术保障体系,制定网络安全事件应急管理制度,制定并不断完善信息系统突发事件应急预案,并定期组织演练。
则将投资者信息保护作为工作重点,将办公类系统、具有投资者敏感信息的系统接入统一身份认证,优化了IP白名单管理机制,加强了对应用系统接入互联网的管控,并加强了客户信息的导出管理及操作信息管理,谨防个人信息泄露损害投资者利益。
为有效防范和应对网络和数据安全风险,建设同城灾备和异地备份的容灾体系,确保网络物理环境安全;采取网络规划与隔离、信息系统安全基线、网络准入、办公终端管控等多重措施,加强关键节点信息安全管控;在网络边界部署防火墙、应用防火墙、流量安全监测系统等网络安全设备,并定期对重要系统开展安全漏洞扫描工作。
中国电子商务专家服务中心副主任、资深人工智能专家郭涛对《证券日报》记者表示:“在证券行业竞争愈发激烈的背景下,券商增大信息科技投入、全面加强信息系统建设具有重要意义,一旦网络安全事件发生,负面舆情将严重影响券商的客户信任度,造成客户流失。未来,券商应通过加强IT基础设施建设、完善应急预案、强化信息安全意识等举措,切实提升信息服务水平,防患未然。”