中国证券报·中证金牛座记者1月18日从业内独家获悉,监管部门近期在业内通报了2024年证券期货行业网络和信息安全现场检查发现的一些突出问题和共性问题。据悉,2024年9月至10月,中国证监会组织开展了行业网络和信息安全专项检查工作。据现场检查情况,部分行业机构在网络安全工作责任制落实、网络和重要信息系统管理、应急管理、外包管理、软件正版化等方面存在一定风险隐患。
具体来看,首先,网络安全工作责任制及信息安全治理有待提升。党委网络和信息安全工作责任制落实不到位,个别关键信息基础设施机构未将关基运行保障情况纳入网络安全责任制考核范围,个别经营机构存在网络和信息安全直接责任人不明确等问题。部分经营机构存在信息技术治理不到位的问题,具体包括:信息科技治理架构不清晰、职责分工不明确、重要信息科技事项审议职责履行不到位、议事记录遗失等。信息科技团队培养重视程度不够,人员管理及岗位设置不规范,多家经营机构存在信息科技及风险合规人员配置不足、相关岗位信息科技经验背景或资质能力不够、整体网络安全宣传教育力度较低等问题。制度建设有待加强,多家经营机构存在制度权责交叉、更新时效性不足或部分专项制度缺失等情况。信息科技审计合规重视程度不足,多家经营机构存在未按规定开展年度信息科技审计或审计整改不及时的情况。
其次,重要信息系统安全保障措施亟需加强。重要信息系统管理方面,部分重要信息系统压力测试要求落实不到位,多家经营机构存在压力测试覆盖不足、指标设置不科学、档案保存不当、流程不规范等问题。信息系统变更管理不规范,多家经营机构存在变更记录不规范、变更风险评估不足等问题。系统运维监控不足,多家经营机构存在信息系统监测预警体系不健全、系统日志完备性及可复现性较差、关键设备监控评估不足等问题。重要信息系统业务连续性保障有待加强,多家经营机构存在未制定业务连续性计划、未设立同城或异地灾备设施、未按季度对重要信息系统备份数据进行有效性验证等情况。
应急管理方面,多家经营机构存在应急管理要求落实不到位,应急管理体系化不足等问题,具体包括:未按规定每年开展应急演练、应急预案评估更新不足、应急场景覆盖不全、应急演练材料不完整、材料存管不规范等问题,风险事件回顾总结水平整体有待提升。
第三,网络安全防护体系有待完善。网络安全管理方面,网络安全防护能力亟待提升,部分经营机构未建立安全管理中心、入侵检测、流量分析等安全设施,存在未按规定开展重要设备病毒扫描、内网防护能力较低、密码安全策略薄弱等问题。漏洞全生命周期管理重视不足,部分经营机构存在漏洞扫描不到位、漏洞修复不及时、漏洞修复风险评估不足、事后有效性验证不足等情况。系统权限及访问控制管理存在风险隐患,个别经营机构存在未使用堡垒机操控关键设备等情况;部分经营机构存在权限分配记录缺失、赋权管理不到位、授权审批合规性审查不足、冗余授权更新清理不及时、移动设备管理较弱等问题。安全审计覆盖度不足,部分经营机构存在未设置独立安全审计员或存在重要用户行为审计缺失、高权限用户权限耦合等情况。网络安全等级保护及IPv6工作要求落实不到位,部分经营机构存在等保定级划分不合理或未按规定开展系统等保测评等问题;部分经营机构暂未完成IPv6规模部署及应用推广,部分经营机构IPv6地址过滤及安全防护能力较弱,存在官网或证券期货移动应用软件未标识IPv6等情况。
信息系统渗透测试方面,系统访问控制机制薄弱,普遍存在弱口令、未授权访问、垂直越权等漏洞以及远程运维操作不规范等问题。部分机构对内网应用系统配置信息管理不善,使得部分业务系统被控制;多家机构存在服务器配置信息泄露问题,使得人事及绩效考核系统、财务系统、投资者管理系统和反洗钱系统等系统被控,存在敏感信息泄露风险隐患。部分机构存在网络安全防护措施不当的情况,个别机构安全防护策略失效、主机防护软件基线风险识别错误、邮件攻击防护能力较低等风险问题。
此外,现场检查还发现其他几类突出问题。外包风险管理方面,外包风险管控机制不够健全,个别经营机构存在外包管理制度缺失,未制定审慎外包、分包转包相关规定等问题。外包安全管理意识不足,多家经营机构存在外包人员定级或授权不合理、供应商及人员评价流于形式等问题。
软件正版化管理方面,软件正版化责任落实不足,多家经营机构存在未按期开展软件正版化年度自查、未明确公司内部软件正版化责任人等情况。软件正版化管理力度仍需加强,部分经营机构存在软件清单台账信息缺失、使用盗版软件、授权超量安装等情况。
数据安全管理方面,数据安全管理体系不健全,个别经营机构存在数据分级分类管理不足,涉密或敏感数据使用审核不规范等问题。证券期货移动应用软件管理及投资者个人数据信息保护工作落实不到位,部分经营机构未完成证券期货移动应用软件个人信息保护检测认证,个别机构未向用户公示个人信息安全举报投诉渠道,存在用户隐私政策内容不完整等情况。
