分析近一年来信息系统安全事件后,证监会分析认为,事件主要类型及反映出的问题有以下五个方面:
其一是个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节;
其二是主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构;
其三,运维人员操作规范性不足,未能建立有效的权限管理及复核机制;
其四,监管通报指出,当前移动APP开发管理存在短板,已成为信息系统安全事件易发领域;
其五,安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。
证监会陆续发布完善一系列政策规定,完善细化工作流程,切实做好投资者保护工作。2021年6月4日,证监会发布了《证券期货业网络安全事件报告与调查处理办法》(下称"《处理办法》"),结合信息系统类别和信息系统服务能力异常,提出了统一的网络安全事件分级方法,完善了网络安全事件报告流程。
根据《处理办法》,当集中竞价交易系统以外的实时交易系统出现严重异常,且故障持续时间30分钟以上的属于重大事件;若故障持续时间10分钟以上的属于较大事件。
信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至信息系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告。同花顺去年被罚,就是因为交易异常情况未及时上报并反馈处置情况。