证监会网站今日发布《关于对华林证券股份有限公司采取出具警示函行政监管措施的决定》,华林证券股份有限公司(以下简称“华林证券”)存在部分互联网渠道交易系统中断57分29秒并迟报违法违规行为,西藏证监局对其采取出具警示函的行政监管措施,处罚依据为《证券期货业信息安全保障管理办法》第四十八条、第五十条及《证券期货业信息安全事件报告与调查处理办法》第三十一条。
华林证券部分互联网渠道交易系统于2019年9月16日9时44分42秒至10时42分11秒之间全部中断57分29秒,影响客户正常业务办理,未及时向西藏证监局报告。在西藏证监局9月17日17时40分进行电话督促后,华林证券于9月18日向西藏证监局报送了《信息安全事件情况报告书》,存在迟报情况。
华林证券上述问题违反了《证券期货业信息安全保障管理办法》第二十四条、第三十二条及《证券期货业信息安全事件报告与调查处理办法》第四条、第十六条、第十七条规定。
此外,西藏证监局还关注到,2019年12月13日华林证券合作客户端APP升级后部分页面无法打开持续约15分钟;2019年12月31日华林证券prop网关出现故障,导致交易系统为两名客户错误开出权限。西藏证监局表示,华林证券应对信息系统进行全面自查,加强信息安全保障管理,提高信息系统运维能力,防止此类事件再次发生。
据华林证券2019年年报显示,截至2019年末,公司第一大股东为深圳市立业集团有限公司,持股数量为17.40亿股,持股比例为64.46%;第二大股东为深圳市怡景食品饮料有限公司,持股数量为4.85亿股,持股比例为17.96%;第三大股东为深圳市希格玛计算机技术有限公司,持股数量为2.05亿股,持股比例为7.59%。
《证券期货业信息安全保障管理办法》第四十八条:中国证监会有权对核心机构、经营机构的信息安全事件进行调查处理。
对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。
《证券期货业信息安全保障管理办法》第五十条:核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
《证券期货业信息安全事件报告与调查处理办法》第三十一条:发生信息安全事件的机构有以下情形之一的,中国证监会或者其派出机构依照有关法律、行政法规和规章,对其采取监督管理措施或者实施行政处罚:
(一)未按照本办法规定进行事件报告,存在迟报、漏报、谎报或者瞒报的;
(二)未妥善保存证据,或者故意隐匿、伪造、篡改、毁损有关文件、资料和证据的;
(三)未按照中国证监会信息安全通报要求及时采取风险防控措施,导致信息安全事件发生的;
(四)未按照中国证监会或者其派出机构的要求进行整改或者整改不到位,导致信息安全事件发生的;
(五)阻碍、拒绝调查工作的;
(六)中国证监会及其派出机构认定存在其他恶劣情形的。
《证券期货业信息安全保障管理办法》第二十四条:核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护,保障系统安全稳定运行。
《证券期货业信息安全保障管理办法》第三十二条:核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
《证券期货业信息安全事件报告与调查处理办法》第四条:核心机构、经营机构发生信息安全事件后,应当及时、准确、完整报告,不得迟报、漏报、谎报或者瞒报。
《证券期货业信息安全事件报告与调查处理办法》第十六条:核心机构和经营机构应当建立信息安全应急处置机制,及时处置信息安全事件,尽快恢复信息系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告:
(一)核心机构重要信息系统发生可能导致或者已经造成交易中断、严重缓慢的重大故障后,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告。
(二)证券、期货公司集中交易系统发生故障,可能导致或者已经造成交易中断、严重缓慢的,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告。
(三)核心机构和经营机构其他信息系统发生故障,影响投资者正常业务办理,原则上30分钟内无法恢复业务正常运行的,应当立即报告,并每隔1小时至少上报一次,直至业务和信息系统恢复正常运行;如有重要情况应当立即报告。
(四)核心机构和经营机构发生投资者数据损毁或者泄露的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告。
(五)核心机构和经营机构发生涉及计算机犯罪的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告。
《证券期货业信息安全事件报告与调查处理办法》第十七条:核心机构和经营机构进行应急报告时应当先进行电话报告,随后书面报送《信息安全事件情况报告书》(见附件),内容包括:事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。
以下为全文:
关于对华林证券股份有限公司采取出具警示函行政监管措施的决定
华林证券股份有限公司:
我局在日常监管中发现你公司存在以下问题:部分互联网渠道交易系统于2019年9月16日9时44分42秒至10时42分11秒之间全部中断57分29秒,影响客户正常业务办理,未及时向我局报告。在我局9月17日17时40分进行电话督促后,你公司于9月18日向我局报送了《信息安全事件情况报告书》,存在迟报情况。
上述问题违反了《证券期货业信息安全保障管理办法》第二十四条、第三十二条及《证券期货业信息安全事件报告与调查处理办法》第四条、第十六条、第十七条规定。依据《证券期货业信息安全保障管理办法》第四十八条、第五十条及《证券期货业信息安全事件报告与调查处理办法》第三十一条,我局决定对你公司采取出具警示函的行政监管措施。此外,我局还关注到:2019年12月13日你公司合作客户端APP升级后部分页面无法打开持续约15分钟;2019年12月31日你公司prop网关出现故障,导致交易系统为两名客户错误开出权限。你公司应对信息系统进行全面自查,加强信息安全保障管理,提高信息系统运维能力,防止此类事件再次发生。
如果对本监督管理措施不服,可以在收到本决定书之日起60日内向中国证券监督管理委员会提出行政复议申请,也可以在收到本决定书之日起6个月内向有管辖权的人民法院提起诉讼。复议与诉讼期间,上述监督管理措施不停止执行。
西藏证监局
2020年3月25日