某券商短信平台被不法分子利用向85万客户发送诈骗短信

　　来源：微信公众号 券商合规小兵

　　大毛他弟

　　近期，某证券公司短信平台系统被不法分子从外部攻入，不法分子破解了密码强度较低的用户账户，并使用该账户登陆短信平台，向85万客户发送诈骗短信，造成不良社会影响。证券基金经营机构的信息系统是资本市场的重要基础设施。该公司在密码管理、权限管理等方面工作的不到位，成为引发该起信息安全事件的潜在原因。现作为案例予以通报，供全行业研究，引以为鉴。

　　为保护投资者合法权益，维护市场平稳运行，各公司应当对此高度重视，严格按规定从下列方面加强信息技术管理工作：一是健全信息技术治理结构，明确经营管理层、合规管理、风险管理、内部审计部门、信息技术部门、各业务部门及分支机构的信息技术管理职责和工作程序，并建立相应的绩效考核和责任追究机制。二是对信息系统实施用户认证和访问控制管理，信息系统的管理、操作和访问权限管理应当遵循最小功能原则和最小策略原则，并经合规部门审批同意。三是明确密码管理要求，加强机控、人控防范措施，保障信息系统的安全平稳运行。四是建立监测机制，设定监测指标，持续监测信息系统的运行状况，及时发现异常情况。

　　五是制定应急预案，加强应急演练，确保发生可能影响重要信息系统正常运行的突发事件时迅速反应，妥善应对，尽可能降低突发事件对业务的影响。

　　各公司应当对短信平台等信息系统及时开展自查，如发现问题及相关隐患应当及时进行整改。我部将把有关内容纳入本年度信息安全检查的检查范围，对违反规定的，将视情况采取措施。

　　大毛点评：1、客户要是上当了，可以向券商主张赔偿吗？2、监管部门对该券商采取了什么监管措施？3、合规部门审核啥？这属于权限管理、操作风险吧？4、通报算监管安排吗，现在开始自查？