中国证券报·中证金牛座记者1月18日从业内独家获悉，监管部门近期在业内通报了2024年证券期货行业网络和信息安全现场检查发现的一些突出问题和共性问题。据悉，2024年9月至10月，中国证监会组织开展了行业网络和信息安全专项检查工作。据现场检查情况，部分行业机构在网络安全工作责任制落实、网络和重要信息系统管理、应急管理、外包管理、软件正版化等方面存在一定风险隐患。

　　具体来看，首先，网络安全工作责任制及信息安全治理有待提升。党委网络和信息安全工作责任制落实不到位，个别关基机构未将关基运行保障情况纳入网络安全责任制考核范围。部分经营机构存在信息科技治理架构不清晰、职责分工不明确、重要信息科技事项审议职责履行不到位、议事记录遗失等信息技术治理不到位的问题。信息科技团队培养重视程度不够，人员管理及岗位设置不规范，多家经营机构存在信息科技及风险合规人员配置不足、相关岗位信息科技经验背景或资质能力不够、整体网络安全宣传教育力度较低等问题。制度建设有待加强，多家经营机构存在制度权责交叉、更新时效性不足或部分专项制度缺失等情况。信息科技审计合规重视程度不足，多家经营机构存在未按规定开展年度信息科技审计或审计整改不及时的情况。

　　其次，重要信息系统安全保障措施亟需加强。重要信息系统管理方面，部分重要信息系统压力测试要求落实不到位，多家经营机构存在压力测试覆盖不足、指标设置不科学、档案保存不当、流程不规范等问题。

　　应急管理方面，多家经营机构存在未按规定每年开展应急演练、应急预案评估更新不足、应急场景覆盖不全、应急演练材料不完整、材料存管不规范等应急管理要求落实不到位，应急管理体系化不足等问题，风险事件回顾总结水平整体有待提升。

　　第三，网络安全防护体系有待完善。网络安全管理方面，网络安全防护能力亟待提升，部分经营机构未建立安全管理中心、入侵检测、流量分析等安全设施，存在未按规定开展重要设备病毒扫描、内网防护能力较低、密码安全策略薄弱等问题。

　　信息系统渗透测试方面，系统访问控制机制薄弱，普遍存在弱口令、未授权访问、垂直越权等漏洞以及远程运维操作不规范等问题。部分机构对内网应用系统配置信息管理不善，使得部分业务系统被控制；多家机构存在服务器配置信息泄露问题，使得人事及绩效考核系统、财务系统、投资者管理系统和反洗钱系统等系统被控，存在敏感信息泄露风险隐患。部分机构存在网络安全防护措施不当的情况，个别机构安全防护策略失效、主机防护软件基线风险识别错误、邮件攻击防护能力较低等风险问题。

　　此外，现场检查还发现其他几类突出问题。外包风险管理方面，外包风险管控机制不够健全，个别经营机构存在外包管理制度缺失，未制定审慎外包、分包转包相关规定等问题。外包安全管理意识不足，多家经营机构存在外包人员定级或授权不合理、供应商及人员评价流于形式等问题。

（文章来源：中国证券报·中证金牛座）