关于某证券公司短信平台被不法分子利用发送诈骗
短信有关事项案例分析近期,某证券公司短信平台系统被不法分子从外部攻入,不法分子破解了密码强度较低的用户账户,并使用该账户登陆短信平台,向 85 万客户发送诈骗短信,造成不良社会影响。证券基金经营机构的信息系统是资本市场的重要基础设施。该公司在密码管理、权限管理等方面工作的不到位,成为引发该起信息安全事件的潜在原因。现作为案例予以通报,供全行业研究,引以为鉴。为保护投资者合法权益,维护市场平稳运行,各公司应当对此高度重视,严格按规定从下列方面加强信息技术管理工作:一是健全信息技术治理结构,明确经营管理层、合规管理、风险管理、内部审计部门、信息技术部门、各业务部门及分支机构的信息技术管理职责和工作程序,并建立相应的绩效考核和责任追究机制。
二是对信息系统实施用户认证和访问控制管理,信息系统的管理、操作和访问权限管理应当遵循最小功能原则和最小策略原则,并经合规部门审批同意。三是明确密码管理要求,加强机控、人控防范措施,保障信息系统的安全平稳运行。四是建立监测机制,设定监测指标,持续监测信息系统的运行状况,及时发现异常情况。五是制定应急预案,加强应急演练,确保发生可能影响重要信息系统正常运行的突发事件时迅速反应,妥善应对,尽可能降低突发事件对业务的影响。各公司应当对短信平台等信息系统及时开展自查,如发现问题及相关隐患应当及时进行整改。我部将把有关内容纳入本年度信息安全检查的检查范围,对违反规定的,将视情况采取措施。
关于某证券公司对香港子公司管控不力的情况通报
2015 年 1 月,某证券公司向我会提交了对香港子公司增资的申请材料。我们在审核中发现,该香港子公司因开展放债业务造成较大亏损。此类放债业务不属于香港证监会监管的持牌业务,而受香港法例第 163 章《放债人条例》监管。在从事相关业务过程中,该香港子公司未能充分履行尽职调查职责,对抵押品实际价值及借款方偿债能力评估严重不足。同时,该香港子公司通过其在英属维尔京群岛注册的全资子公司发行了较大数额的人民币公开债。有关发债文件规定,如果在特定情况下香港子公司不能及时获得该证券公司的增资,将会触发债务违约。此外,
证券公司未能及时、准确、全面地将上述情况报告监管机构。因此,我们对该证券公司及其香港子公司进行了专项调查。经查,该证券公司对香港子公司的管理制度不健全、落实不到位,未能在发展战略、展业模式、重大投资决策、管理团队、财务、合规、风控等方面对香港子公司实施有效管控;香港子公司业务发展定位不清晰,公司治理薄弱,管理制度不健全,内部管理混乱,经营偏离主业,大量从事非证券持牌业务造成较大亏损。上述情况反映出证券公司未依法履行对香港子公司的管理责任,未有效督促其建立健全法人治理结构、加强合规内控和风险管理以及审慎开展有关业务,违反了《证券公司监督管理条例》、《证券公司董事、监事和高级管理人员任职资格监管办法》的有关规定。基于上述情况,我会及有关监管局对该证券公司采取了责令增加内部合规检查次数、处分有关责任人员并报告结果的监管措施,对该证券公司相关人员采取了监管谈话的措施,并责令该证券公司督促香港子公司不得新增任何非持牌业务、并在合理期限内清理现有非持牌业务。同时,我会已将上述监管措施通报香港监管机构。