7月13日，深圳证监局发布关于对中信证券股份有限公司采取出具警示函措施的决定。经查，深圳证监局发现中信证券在2023年6月19日的网络安全事件中，存在机房基础设施建设安全性不足，信息系统设备可靠性管理疏漏等问题。深圳证监局决定对中信证券采取出具警示函的行政监管措施。

以下为警示函全文：

中信证券股份有限公司：

经查，我局发现你公司在2023年6月19日的网络安全事件中，存在机房基础设施建设安全性不足，信息系统设备可靠性管理疏漏等问题。上述行为违反了《证券期货业网络和信息安全管理办法》（证监会令第218号，以下简称《网络和信息安全管理办法》）第十三条相关规定。

依据《网络和信息安全管理办法》第六十二条第二款，以及《证券期货业网络安全事件报告与调查处理办法》（证监会公告〔2021〕12号）第二十八条的规定，我局决定对你公司采取出具警示函的行政监管措施。你公司应认真落实网络安全责任制，强化网络和信息安全工作，吸取事件教训，举一反三，彻查风险隐患，对相关问题进行全面整改。你公司应于3个月内完成上述整改工作并向我局报送整改报告。

如对本行政监管措施不服，可在收到本决定书之日起60日内向中国证监会提出行政复议申请，也可在收到本决定书之日起6个月内向有管辖权的人民法院提起诉讼。复议与诉讼期间，上述行政监管措施不停止执行。

中信证券APP崩了，网友：损失谁来承担？

6月19日早间10点左右，有网友发文反映中信证券交易系统的问题：“软件崩了，长达近二十分钟都是已报待撤，急用钱出不来，联系客服还不知道这个事，软件客服直接挂断，损失谁来承担？”之后，有投资者致电中信证券APP人工客服，人工客服表示出现问题的时间为：“10时05分至10时30分，10时30分就恢复正常了。”

据《每日经济新闻》记者了解，有投资者表示，其中信证券的账户在电脑端早盘可以正常交易。因此，出问题的应该只有手机APP端口。

中信证券本次长达半小时的APP宕机，也让不少客户不满。比如，在某股吧中有投资者表示：“我是下单无法撤，看着跌，然后10点半左右一股脑成交了……”

记者注意到，中信证券2022年年报显示，公司首席信息官、信息技术中心行政负责人为方兴。“方兴于2000年加入公司，曾任公司信息技术中心项目主管、总监、执行总经理，中信期货副总经理、总经理等职务。方兴现兼任中信证券华南首席信息官、证通股份董事、中信证券信息与量化服务（深圳）有限责任公司执行董事和法定代表人。”此外，2023年2月24日，公司第八届董事会第三次会议聘任张皓为公司首席风险官，任期至第八届董事会届满为止。

近年来，券商普遍加大信息科技研发投入。2022 年年报显示，华泰证券以 27.2 亿元的 IT 投入大幅领先居于次席的中金公司，后者当年 IT 投入金额为 19.1 亿元。此外，国泰君安、海通证券、招商证券、中信建投等当年 IT 投入均超 10 亿元，分别为 18 亿元、14.8 亿元、14.5 亿元、13.1 亿元、12.3 亿元和 11.5 亿元。不过，作为 " 券业一哥 " 的中信证券并未披露此项数据。

多家券商因为APP宕机受监管处罚

中信证券此事引起了市场热议。此前就有券商因为APP宕机受到监管处罚。

此前，招商证券因交易系统发生故障被证监会出具警示函。2022年3月14日，有投资者在社交媒体上反映招商证券APP宕机，无法正常买入卖出，查询成交时则显示 " 系统错误 "，至当日收盘仍未解决。5月16日，招商证券APP再度宕机，PC 端与移动端均无法登录。同年7月12日，证监会向招商证券出具警示函，要求后者对相关问题进行全面整改，对责任人员进行内部责任追究。

2023年3月21日，有投资者在社交媒体上反映东方财富APP无法登录或无法进行交易操作。有投资者反映称，上午10:30左右东方财富APP恢复使用，能够登录；但午盘再度宕机。

3月31日，东方财富发布公告称，子公司东方财富证券收到西藏证监局下发的行政监管措施决定书《关于对东方财富证券股份有限公司采取责令改正措施的决定》。函件显示，东方财富证券在2023年3月21日的网络安全事件中，存在信息系统升级论证测试不充分、未及时报告网络安全事件的问题。依据相关规定，西藏证监局决定对东方财富证券采取责令改正的监督管理措施。同时，责令东方财富证券对此次事件相关责任人员进行内部责任追究，并妥善处置此次事件引发的投资者诉求。

证监会：故障持续30分钟以上属于重大事件

根据证监会于2021年6月发布的《证券期货业网络安全事件报告与调查处理办法》（下称《处理办法》），结合信息系统类别和信息系统服务能力异常，提出了统一的网络安全事件分级方法，完善了网络安全事件报告流程。根据《处理办法》，当集中竞价交易系统以外的实时交易系统出现严重异常，且故障持续时间30分钟以上的属于重大事件；若故障持续时间 10 分钟以上的属于较大事件。

《处理办法》要求，信息系统发生故障，可能构成网络安全事件的，应当立即报告。可能构成特别重大、重大网络安全事件的，应当每隔30分钟至少上报一次事件处置情况，直至信息系统恢复正常运行；对较大和一般网络安全事件，第一次上报后，无须持续上报事件处置情况；如有重要情况应当立即报告。

此外，2023年6月9日，中证协印发《证券公司网络和信息安全三年提升计划（2023-2025）》（以下简称《安全提升计划》），阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。

《安全提升计划》围绕国家关于网络和信息安全的具体要求，聚焦提升行业科技治理和信息系统架构掌控能力，聚焦防范网络和信息安全风险，明确六类31项主要任务要求，形成32项具体任务清单。

《安全提升计划》明确了应当遵循的基本原则：一是稳健性原则，强化合规风控，严守风险底线；二是系统性原则，强化协同机制，整体规划；三是差异性原则，强化专业引领，因司制宜；四是创新性原则，强化创新驱动，科技赋能。

编辑/范辉