Shenzhen es el mayor corredor de bolsa China Merchants Securities Co.Ltd(600999) dos veces consecutiv En el último año, las empresas de valores y las empresas de fondos han experimentado muchos incidentes de Seguridad de los sistemas de información. It is understood that recently the regulatory authorities issued a number of “Institutional Supervision circular”, the relevant information system Security events cases specifically reported.
En la comunicación, la supervisión analiza las razones de los múltiples incidentes de seguridad del sistema de información en las instituciones de fondos de valores desde los aspectos de la gestión del control interno, el dominio de la arquitectura del sistema, el personal de operaciones y mantenimiento y la gestión del desarrollo de aplicaciones móviles. Al mismo tiempo, la supervisión aclara cinco requisitos para garantizar continuamente el funcionamiento seguro y estable del sistema de información.
La industria dijo que, a fin de evitar los peligros ocultos conexos, las instituciones de gestión de fondos de valores deberían establecer un sistema de supervisión y control perfecto, al tiempo que se evitarían al máximo los riesgos operacionales causados por el hombre, haciendo hincapié en la mejora de la capacidad de respuesta de emergencia y el mantenimiento de la Seguridad y la estabilidad del sistema de comercio.
Frecuentes incidentes de seguridad del sistema de información
Recientemente, algunos inversores en la red dijeron que los sistemas de PC y app de China Merchants Securities Co.Ltd(600999) no pueden iniciar sesión, lo que resulta en transacciones normales.
Ocasionalmente, el mismo día, el sistema de comercio Huaxi Securities Co.Ltd(002926) \ Aunque la situación se resolvió antes del cierre de la sesión anterior, muchos inversores dijeron que el sistema de comercio se había estancado y había causado pérdidas económicas.
Esta no es la primera vez que el sistema ha sido anormal, y el último problema fue el 14 de marzo, sólo dos meses después de hoy.
Anteriormente, el sistema de comercio de China Merchants Securities Co.Ltd(600999) \
En respuesta, se dijo que “todas las comisiones comerciales del sistema de comercio centralizado se han transmitido al sistema de intercambio en tiempo real, pero debido al retraso en el procesamiento de los rendimientos de las transacciones, algunos clientes no han recibido oportunamente información sobre los rendimientos de las transacciones en los clientes, lo que afecta a las operaciones de retirada de pedidos”.
El tiempo de inactividad dos veces al mes es extremadamente raro para los 100000 millones de corredores principales. En respuesta, el 2 de abril, la Oficina Reguladora de valores de Shenzhen emitió un anuncio diciendo que China Merchants Securities Co.Ltd(600999) \ 35
Shenzhen Securities and Regulatory Bureau stressed that the above – mentioned Rectification should be completed Within three months and submit Rectification Report to Shenzhen Security and Regulatory Bureau. Sin embargo, lo que no se esperaba en ese momento era que el período de rectificación de tres meses aún no había expirado y que el sistema de China Merchants Securities Co.Ltd(600999)
Además, el sistema de comercio de Guosen Securities Co.Ltd(002736) falló el 15 de marzo. En ese momento, algunos inversores reflejaron que Guosen Securities Co.Ltd(002736)
Vale la pena mencionar que fallas similares en los sistemas de información y eventos de Seguridad no ocurren sólo en las empresas de valores. El 4 de febrero, el 14 de febrero y el 28 de febrero de 2022, tres empresas de gestión de fondos se enfrentaron a una serie de incidentes de Seguridad de la red que no podían ser accedidos por el sitio web oficial debido a la infección por virus o reptiles.
se refiere a un evento de seguridad del sistema de información.
La regulación revela cinco razones principales.
Se informó a los periodistas de que, en respuesta a los frecuentes incidentes de fallos del sistema de comercio, el Departamento de supervisión de los fondos de valores en la nueva edición de la “Circular de supervisión institucional” informó a la escuela secundaria de los casos de incidentes de seguridad relacionados con el sistema de información para toda la industria.
En la circular se señaló que en los últimos tiempos se habían producido incidentes de Seguridad de los sistemas de información en muchas instituciones de gestión de fondos de valores, en particular incidentes similares en un breve período de tiempo, que afectaban a las transacciones normales de los inversores y afectaban negativamente a la reputación de la industria. Las autoridades reguladoras llevarán a cabo investigaciones de conformidad con la ley y se ocuparán seriamente de las instituciones pertinentes y del personal responsable.
En cuanto a los principales tipos de incidentes y los problemas reflejados, las autoridades reguladoras han realizado un análisis detallado de cinco aspectos. En primer lugar, la gestión del control interno del cumplimiento de algunas empresas no está en su lugar, y hay algunos puntos débiles en el proceso de mejora y transformación del sistema.
Tomando como ejemplo a China Merchants Securities Co.Ltd(600999) El 14 de marzo y el 16 de mayo de 2022, China Merchants Securities Co.Ltd(600999) \ \ \ durante Refleja que el cumplimiento institucional y el sistema de control interno de las partes son inadecuados o no se aplican adecuadamente.
En segundo lugar, la conciencia de la responsabilidad principal no es fuerte, el desempeño no es eficaz, no tiene una comprensión clara, precisa y completa de la arquitectura del sistema de software proporcionada por el proveedor externo.
Por ejemplo, el procedimiento de presentación de ofertas de la bolsa de valores original falló el 18 de mayo del año pasado y, tras la verificación, la causa del accidente fue un error lógico en el paquete de actualización cuando el ingeniero del proveedor de servicios de software actualizó el sistema de gestión de activos desplegado en el mismo servidor, lo que reflejaba que las Partes no habían aplicado efectivamente los requisitos de las medidas pertinentes.
En tercer lugar, el personal de operaciones y mantenimiento no ha establecido un mecanismo eficaz de gestión y revisión de la autoridad. Después de peinar, hay 6 incidentes de seguridad del sistema de información debido al funcionamiento no estándar del personal de operación y mantenimiento. Esto refleja las omisiones en el diseño de procesos y la supervisión e inspección de la operación y el mantenimiento.
En cuarto lugar, la gestión del desarrollo de aplicaciones móviles tiene un tablero corto, que se ha convertido en el campo de los eventos de seguridad del sistema de información. El 25 de abril de 2022, el Centro Nacional de tratamiento de emergencias de virus informáticos informó de que 13 empresas de valores tenían aplicaciones móviles que no cumplían las normas de privacidad, sospechosas de recoger información de privacidad personal fuera del alcance. Esto refleja que algunas organizaciones industriales no pueden hacer un buen trabajo de gestión de la seguridad al mismo tiempo que llevan a cabo la transformación digital y aumentan la inversión en el desarrollo de aplicaciones móviles.
En quinto lugar, existen lagunas en la gestión de la seguridad, por lo que es necesario mejorar la capacidad de protección de la red para hacer frente a los ataques externos a la red o al acceso de los reptiles.
La supervisión, por ejemplo, dijo que el a ño pasado tres empresas de fondos tuvieron una serie de incidentes de Seguridad de la red, lo que refleja la falta de capacidad de protección de la seguridad de la red de las partes interesadas, en el control del acceso, la vigilancia y protección de intrusiones, la protección contra virus, la seguridad de la red y otros aspectos del establecimiento de un sistema amplio y eficaz de protección de la seguridad.
El Reglamento enumera cinco requisitos principales.
Aumento continuo de la supervisión de la gestión de la tecnología de la información
En la notificación, los reguladores también especifican los requisitos. En la circular se señala que 2022 es el año de la victoria del partido y la clave para profundizar la reforma del mercado de capitales. Invita a todas las instituciones de gestión de fondos de valores a que examinen cuidadosamente y rectifiquen sus propios problemas, salvaguarden los derechos e intereses legítimos de los inversores y garanticen continuamente el funcionamiento seguro y estable del sistema de información.
En primer lugar, dar gran importancia a la gestión y mejorar la capacidad de apoyo al funcionamiento y mantenimiento del sistema. En primer lugar, la responsabilidad principal de la compactación. Mejorar el sistema de gestión de la tecnología de la información y el mecanismo de rendición de cuentas en materia de sanciones, supervisar e instar a los “jefes” de la empresa, al Oficial Jefe de información y al personal técnico clave a que tensen constantemente la cadena de seguridad del sistema de información, a que cumplan sus responsabilidades y presten atención al funcionamiento seguro de la Organización.
En segundo lugar, fortalecer la gestión de la seguridad. En tercer lugar, aumentar la seguridad técnica. En combinación con la situación actual de la prevención y el control de la epidemia, aumentar la inversión en tecnología de la información, mejorar la capacidad profesional del personal técnico, mantener la estabilidad del personal técnico básico y hacer un buen trabajo en los arreglos de emergencia.
En segundo lugar, fortalecer el control interno y la gestión del cumplimiento, promover la mejora y transformación del sistema de manera segura. En primer lugar, aclarar la División de responsabilidades internas. En segundo lugar, elaborar un plan de aplicación especial, verificar plenamente el diseño del proceso, la configuración de la función, la configuración de parámetros y otros contenidos pertinentes, y llevar a cabo prudentemente la importante labor de mejora del sistema de información relacionada con las transacciones y otros vínculos comerciales básicos. En tercer lugar, perfeccionar el sistema
Trabajo de prueba, prueba de presión mejorada.
En tercer lugar, llevar a cabo evaluaciones periódicas de la robustez del sistema para eliminar oportunamente los riesgos ocultos. En primer lugar, la identificación completa y exacta de los diversos riesgos técnicos en el proceso de transformación digital para garantizar el cumplimiento y la gestión de riesgos abarca todos los aspectos de la aplicación de la tecnología de la información.
En segundo lugar, establecer y mejorar el mecanismo de supervisión de la seguridad del sistema de información. En tercer lugar, llevar a cabo periódicamente una auditoría especial de la gestión de la tecnología de la información, investigar a fondo los problemas de la estructura del sistema de información y los riesgos técnicos ocultos, y rectificar oportunamente.
En cuarto lugar, aplicar estrictamente los requisitos de protección de la información al cliente y salvaguardar eficazmente los derechos e intereses legítimos de los inversores. En primer lugar, mejorar las medidas de seguridad tecnológica, en segundo lugar, fortalecer la gestión de los sistemas de información, en tercer lugar, aplicar las leyes y reglamentos pertinentes, fortalecer la gestión de las aplicaciones móviles.
En quinto lugar, fortalecer la gestión de la capacidad y el fomento de la capacidad de preparación para casos de desastre, mejorar la capacidad de respuesta de emergencia. En primer lugar, llevar a cabo la gestión de la capacidad del sistema y el fomento de la capacidad de copia de Seguridad, combinando la estrategia de desarrollo de la empresa, la escala de Negocios y otros factores para llevar a cabo pruebas periódicas de resistencia a los sistemas de información importantes, a fin de garantizar que su capacidad satisfaga Las necesidades de desarrollo empresarial. En segundo lugar, elaborar y mejorar continuamente el plan de respuesta de emergencia; en tercer lugar, enriquecer el escenario de respuesta de emergencia.
En la próxima etapa, el Departamento de instituciones y las oficinas de supervisión de valores, de conformidad con el principio de “supervisión de la penetración y rendición de cuentas en toda la cadena”, seguirán intensificando la supervisión e inspección del control interno del cumplimiento y la gestión de la tecnología de la información de las instituciones de gestión de Fondos de valores, imponiendo “sanciones dobles” a las instituciones que tengan problemas y al personal responsable, y tratarán con rigor la evaluación clasificada.
Construcción de sistemas para garantizar la seguridad del sistema de información
De hecho, la industria de los fondos de valores ya ha entrado en la fase de construcción de la información y desarrollo simultáneo de las empresas, el funcionamiento normal de las instituciones ya no puede prescindir del apoyo a los activos de datos, incluida la información al cliente, los datos comerciales y diversos datos importantes.
Desde 2017, la industria de valores ha invertido más de 110000 millones de yuan en tecnología de la información, pero la transformación digital de la industria de valores tiene un largo camino por recorrer.
Hengtai Securities Related Business Officer believes that the process of Digital Transformation is relatively CLEAR, but in the process of the Transformation will meet more or less with existing Corporate Culture, Technology Platform, Organizational Framework and input – Output Related Problems.
De arriba a abajo, es necesario mantener la fuerza estratégica y garantizar la aplicación de la Estrategia Digital. De abajo hacia arriba, debemos elegir el camino de implementación que se ajusta a la propia dotación de la empresa, lo que se hace primero, lo que se hace más y lo que se hace menos, en lugar de imitar ciegamente a la industria para hacer grandes cosas rápidamente, para salir de un camino exitoso de transformación digital.
Las personas responsables de la Sede de Shanghai Securities Finance Science and Technology sostienen que la transformación digital no consiste simplemente en construir sistemas, construir plataformas y datos de aterrizaje, sino en una transformación integral de la filosofía, la cultura, la Organización, el formato, la gestión y el proceso de la empresa, y que debe combinarse plenamente con sus propios recursos para mejorar la calidad y eficiencia de los servicios financieros de valores centrados en el cliente y reducir los costos y riesgos de funcionamiento de la empresa. Explorar activamente la apertura de la cadena ecológica interna y la integración en el ecosistema externo para remodelar digitalmente los procesos empresariales y los modelos empresariales. Sin embargo, el logro de los objetivos mencionados todavía se enfrenta a cuatro dificultades, a saber, el mecanismo institucional es difícil de igualar los objetivos de transformación, la inversión de recursos es relativamente insuficiente, el nivel de gobernanza de los datos y la calidad de los datos son insuficientes, y los talentos compuestos son escasos.
A finales de 2018, la Comisión Reguladora de valores de China (c
En las medidas de gestión se hace hincapié en la necesidad de la gobernanza de los datos, se exige claramente la responsabilidad de la gestión de la seguridad de los datos y se indica que las organizaciones deben mejorar el sistema de red para proteger la seguridad de los datos operacionales y la información de los clientes y prevenir las fugas de datos.
En las medidas de gestión de la tecnología de la información de la Comisión Reguladora de valores de China también se afirma claramente que “las instituciones de gestión de fondos de valores mejorarán las medidas de Seguridad, como el aislamiento de la red, la autenticación de los usuarios, el control del acceso, la encriptación de datos, la copia de Seguridad de datos, la destrucción de datos, los registros de registro, la prevención de virus y la detección de intrusiones ilegales, a fin de proteger la seguridad de los datos comerciales y la información de los clientes y prevenir la divulgación y destrucción de información”.
En cuanto a la seguridad de los datos de las empresas de la Caja, la industria indicó que, a medida que la industria financiera dependía cada vez más de la tecnología de las comunicaciones y las aplicaciones informáticas, cada división de la Caja estaba cada vez más preocupada por la forma de garantizar un funcionamiento estable y eficiente de los sistemas de información.
En los últimos años, la seguridad de los datos en las empresas de fondos se ha convertido gradualmente en la primera prioridad, incluido el alcance del uso de los datos, la circulación, la copia y la manipulación.