El problema del “tiempo de inactividad” que se produce con frecuencia en la industria de los fondos de valores ha suscitado la preocupación de los reguladores.
El reportero chino de la Agencia de valores se enteró de que el Departamento de instituciones de la Comisión Reguladora de valores de China recientemente emitió una “Circular de supervisión de la Agencia” (la “circular”) a las empresas de valores y fondos, informó sobre los recientes incidentes de seguridad del sistema de información en la industria, Dijo que llevará a cabo la investigación de acuerdo con la ley y tratará seriamente con las instituciones pertinentes y el personal responsable.
Al mismo tiempo, las autoridades reguladoras han hecho hincapié en los requisitos reglamentarios, han instado a las empresas de valores y a las empresas de fondos a que fortalezcan el control interno del cumplimiento, mejoren la capacidad de funcionamiento y mantenimiento del sistema de información y respeten estrictamente la línea de base de la seguridad de la información, y la Comisión seguirá intensificando la supervisión e inspección del control interno del cumplimiento y la gestión de la tecnología de la información de las instituciones de gestión de fondos de valores, y a que impongan “sanciones dobles” a las instituciones y personas responsables de los problemas existentes. Y en la evaluación clasificada de un tratamiento estricto.
Los participantes en el mercado dijeron que la seguridad de la información era fundamental para las instituciones de fondos de valores, a fin de garantizar el funcionamiento normal de los inversores y el funcionamiento estable del mercado de capitales, era necesario mejorar la capacidad de funcionamiento y mantenimiento del sistema, fortalecer la gestión de la seguridad, aumentar la seguridad técnica, fortalecer el control interno y la gestión del cumplimiento, llevar a cabo evaluaciones periódicas de la robustez del sistema y eliminar oportunamente los riesgos ocultos.
Seguridad de los sistemas de información de múltiples instituciones, investigación rápida de los reguladores
El 16 de mayo, los inversores informaron de que la aplicación no podía iniciar sesión, y que el sistema de comercio había sido confirmado por el contenido de la publicación de microblogueo el mismo día, y dijeron que se había vuelto a la normalidad y se habían disculpado, que era la segunda vez que la aplicación había fallado en casi dos meses.
Hace dos meses, el 14 de marzo de 2022, algunos cibernautas en la plataforma social reflejaron China Merchants Securities Co.Ltd(600999)
“Esto revela que algunas instituciones no cumplen con la gestión del control interno, el proceso de mejora y transformación del sistema existe un eslabón débil. En la circular se señala que el escenario de prueba, especialmente la prueba de estrés, no es suficiente durante la actualización del sistema de fin de semana, lo que da lugar a dos incidentes de seguridad del sistema de información en el sistema de comercio. Refleja que el sistema de cumplimiento y control interno de las Partes no es perfecto o no se lleva a cabo en su lugar, no se ha elaborado un plan especial de aplicación eficaz en el proceso de mejora del sistema, existen lagunas en la gestión interna y no se han examinado, confirmado y seguido continuamente las operaciones de cambio.
En cuanto a la prolongación del tiempo, en el último a ño se han producido varios incidentes de Seguridad de los sistemas de información en las instituciones de fondos de valores, y el 18 de mayo de 2021 se produjo un fallo en el procedimiento de presentación de ofertas de la bolsa de valores original. Refleja que las instituciones interesadas no han aplicado eficazmente los requisitos pertinentes de las medidas de gestión de la tecnología de la información de las instituciones de gestión de fondos de valores, no han comprendido claramente, con precisión y exhaustivamente la estructura técnica, la lógica empresarial y los procesos operacionales de los sistemas de información importantes, y no han garantizado que el funcionamiento de los sistemas de información importantes se mantenga bajo su propio control. En la comunicación se señaló que esto reflejaba la falta de conciencia de la responsabilidad principal, el desempeño ineficaz, la falta de claridad, precisión y un dominio completo de la arquitectura del sistema de programas informáticos proporcionados por proveedores externos.
Se debe prestar atención a las vulnerabilidades del sistema de información de la industria.
Financial Science and Technology become one of the important competitiveness of Securities Brokers Day by day, various institutions have increased their input to improve Customer Experience, however, in the Market Environment of Big Match, In addition to the above mentioned System upgrade and Transformation Vulnerability, The External Supplier System Architecture Problems, the Banking Information System also exists
En primer lugar, el personal de operaciones y mantenimiento no ha establecido un mecanismo eficaz de gestión y revisión de la autoridad debido a la falta de normas de funcionamiento. Después de peinar, hay 6 incidentes de seguridad del sistema de información debido al funcionamiento no estándar del personal de operación y mantenimiento. Esto refleja las omisiones en el diseño de procesos, la supervisión y la inspección de las operaciones y el mantenimiento, el cumplimiento y la gestión de riesgos no abarcan todos los aspectos de la aplicación de la tecnología de la información, el personal pertinente no sigue los procedimientos operativos estándar y la conciencia de la seguridad y el cumplimiento es escasa.
En segundo lugar, la gestión del desarrollo de aplicaciones móviles tiene un tablero corto, que se ha convertido en el campo de los eventos de seguridad del sistema de información. El 25 de abril de 2022, el Centro Nacional de tratamiento de emergencias de virus informáticos informó de que 13 empresas de valores tenían aplicaciones móviles que no cumplían las normas de privacidad, sospechosas de recoger información de privacidad personal fuera del alcance. A través de la investigación, las organizaciones relacionadas tienen algunos problemas, como la auditoría en línea de la aplicación móvil no es estricta, el paso a pérdidas y ganancias, etc. algunos enlaces no se tratan a fondo, y algunos artículos no se expresan con precisión. Refleja que algunas organizaciones de la industria en la transformación digital, el aumento de la inversión en el desarrollo de aplicaciones móviles, al mismo tiempo, no pueden hacer un buen trabajo de gestión de la seguridad correspondiente, en el diseño y el desarrollo, la aplicación en el estante, la protección de la privacidad.
En tercer lugar, existen lagunas en la gestión de la seguridad, por lo que es necesario mejorar la capacidad de protección de la red para hacer frente a los ataques externos a la red o al acceso de los reptiles. El 4 de febrero, el 14 de febrero y el 28 de febrero de 2022, tres empresas de gestión de fondos aparecieron sucesivamente incidentes de Seguridad de la red que no podían ser visitados por el sitio web oficial debido a la infección por virus o reptiles, lo que reflejaba la insuficiencia de la capacidad de protección de la seguridad de La red de las partes interesadas y el fracaso en el establecimiento de un sistema amplio y eficaz de protección de la seguridad en el control del acceso, la vigilancia de la intrusión y la protección, la protección contra virus y la seguridad de la red.
Fortalecimiento de los requisitos reglamentarios en cinco aspectos, fortalecimiento del control interno y la gestión del cumplimiento
Los requisitos de la circular informativa exigen que las instituciones de gestión de los fondos de valores aumenten su posición política, hagan frente a los problemas, tomen medidas enérgicas, hagan un examen cuidadoso de sí mismas y rectifiquen, apliquen efectivamente todas las disposiciones, protejan los derechos e intereses legítimos de los inversores y garanticen continuamente el funcionamiento seguro y estable del sistema de información.
En primer lugar, dar gran importancia a la gestión y mejorar la capacidad de apoyo al funcionamiento y mantenimiento del sistema. En primer lugar, la responsabilidad principal de la compactación. Mejorar el sistema de gestión de la tecnología de la información y el mecanismo de rendición de cuentas en materia de sanciones, supervisar e instar a los “jefes” de la empresa, al Oficial Jefe de información y al personal técnico clave a que tensen constantemente la cadena de seguridad del sistema de información, a que cumplan sus responsabilidades y presten atención al funcionamiento seguro de la Organización. En segundo lugar, fortalecer la gestión de la seguridad. Perfeccionar el sistema y las medidas de funcionamiento de la seguridad interna de la empresa, perfeccionar el proceso de funcionamiento de los nuevos negocios y nuevos productos relacionados con la mejora y transformación del sistema, la evaluación periódica de la seguridad, la solución de problemas de riesgo y el ejercicio de emergencia, perfeccionar el mecanismo de verificación de la revisión de la seguridad y garantizar que las medidas de gestión de la seguridad sean ejecutables, rastreables y verificables. En tercer lugar, aumentar la seguridad técnica. En combinación con la situación actual de la prevención y el control de la epidemia, aumentar la inversión en tecnología de la información, mejorar la capacidad profesional del personal técnico, mantener la estabilidad del personal técnico básico, hacer un buen trabajo en la disposición de la Guardia de emergencia y garantizar el funcionamiento seguro del sistema.
En segundo lugar, fortalecer el control interno y la gestión del cumplimiento y promover la mejora y transformación del sistema de manera segura. En primer lugar, aclarar la División de responsabilidades internas. Sobre la base de la labor conexa dirigida por el Departamento de tecnología de la información, los riesgos de Seguridad de la información se incorporarán en el sistema general de gestión de riesgos, se ejercerá la función de gestión y control de los riesgos de Seguridad de la información de los departamentos de cumplimiento y control de riesgos, y se formará un mecanismo de supervisión y restricción mutuas. En segundo lugar, elaborar un plan de aplicación especial, verificar plenamente el diseño del proceso, la configuración de la función, la configuración de parámetros y otros contenidos pertinentes, y llevar a cabo prudentemente la importante labor de mejora del sistema de información relacionada con las transacciones y otros vínculos comerciales básicos.
En tercer lugar, mejorar el trabajo de prueba del sistema, construir un entorno de prueba especial independiente del entorno de producción, enriquecer el escenario de prueba después de la actualización del sistema, fortalecer la prueba de estrés.
En tercer lugar, llevar a cabo periódicamente la evaluación de la robustez del sistema para eliminar oportunamente los riesgos ocultos. En primer lugar, la identificación completa y exacta de los diversos riesgos técnicos en el proceso de transformación digital para garantizar el cumplimiento y la gestión de riesgos abarca todos los aspectos de la aplicación de la tecnología de la información. En segundo lugar, establecer y mejorar el mecanismo de vigilancia de la seguridad de los sistemas de información, establecer indicadores de vigilancia y supervisar continuamente el funcionamiento de los sistemas de información importantes. En tercer lugar, llevar a cabo periódicamente una auditoría especial de la gestión de la tecnología de la información, investigar a fondo los problemas de la estructura del sistema de información y los riesgos técnicos ocultos, y rectificar oportunamente la situación de la auditoría.
En cuarto lugar, aplicar estrictamente los requisitos de protección de la información al cliente y salvaguardar eficazmente los derechos e intereses legítimos de los inversores. En primer lugar, mejorar las medidas técnicas de Seguridad, incluido, entre otras cosas, el aislamiento de la red, la autenticación de los usuarios, el control del acceso, el cifrado de datos, la copia de Seguridad de datos, la destrucción de datos, la prevención de virus y la vigilancia de la intrusión ilegal, para proteger la seguridad de los datos contra la divulgación y destrucción de información. En segundo lugar, fortalecer la gestión del sistema de información, el funcionamiento y la gestión de los derechos de acceso para garantizar que los derechos de los usuarios coincidan con las responsabilidades laborales. En tercer lugar, la aplicación de las leyes y reglamentos pertinentes, el fortalecimiento de la gestión de las aplicaciones móviles, la mejora del mecanismo de auditoría y detección antes de la publicación, la supervisión continua del cumplimiento de los acuerdos de confidencialidad de las organizaciones externas, como las organizaciones de servicios de tecnología de la información, para evitar La divulgación de información a los inversores debido a una gestión inadecuada de las organizaciones cooperativas.
En quinto lugar, fortalecer la gestión de la capacidad y el fomento de la capacidad de preparación para casos de desastre y mejorar la capacidad de respuesta de emergencia. En primer lugar, llevar a cabo la gestión de la capacidad del sistema y el fomento de la capacidad de copia de Seguridad, combinando la estrategia de desarrollo de la empresa, la escala de Negocios y otros factores para llevar a cabo pruebas periódicas de resistencia a los sistemas de información importantes, a fin de garantizar que su capacidad satisfaga Las necesidades de desarrollo empresarial. En segundo lugar, elaborar y mejorar continuamente el plan de emergencia, de conformidad con el plan de emergencia para organizar periódicamente puestos clave para llevar a cabo ejercicios de emergencia. En tercer lugar, enriquecer el escenario de manejo de emergencias, fortalecer el “ejercicio real”, resumir periódicamente los problemas encontrados en el ejercicio, mejorar el mecanismo de manejo de emergencias.
Double penalt
En los últimos años, las autoridades reguladoras conceden gran importancia a la seguridad de la red de la industria de valores y futuros, se han publicado documentos relacionados con la seguridad de la red para la industria de valores y futuros, y se está promoviendo activamente la protección de los niveles de Seguridad de la red. Al mismo tiempo, las empresas de valores también están aumentando continuamente la inversión en tecnología de la información, desde 2017, la industria de valores ha invertido más de 110000 millones de yuan en tecnología de la información, pero la transformación digital de la industria de valores tiene un largo camino por recorrer.
El “tiempo de inactividad” de las empresas de valores se produce con frecuencia, lo que refleja que la estabilidad del sistema de negociación todavía tiene un gran margen de mejora. Deng zhidong, Director del Foro de 100 miembros de la CFO de China, cree que la arquitectura del sistema de la Fundación que las empresas de valores construyeron temprano, algunos ya no pueden mantenerse al día con las necesidades del desarrollo empresarial actual, al mismo tiempo, debido a la construcción conjunta de múltiples partes, la mejora de la Arquitectura y otras razones, el sistema de comercio paralelo, no sólo hace que la gestión de la operación y el mantenimiento sea más difícil, sino que también hace que la reconstrucción del sistema sea más difícil y costosa.
De acuerdo con las normas de supervisión clasificada de las empresas de valores publicadas por la Comisión Reguladora de valores de China, la gestión de la tecnología de la información es uno de los seis principales indicadores de evaluación, que afectará a la clasificación general de las empresas de valores. Además, las disposiciones de supervisión clasificada especifican que las empresas de valores están obligadas a rectificar y a aumentar el número de inspecciones internas de cumplimiento, cada una de las cuales se deduce un punto.
La Comisión Reguladora de valores de China dijo que en la próxima etapa, el Ministerio de instituciones y la Oficina Reguladora de valores de China, de conformidad con el principio de “supervisión de la penetración, rendición de cuentas a lo largo de toda la cadena”, seguirán aumentando el control interno del cumplimiento y la supervisión de la gestión de la tecnología de la información de las instituciones de gestión de fondos de valores, las instituciones existentes y el personal responsable de la aplicación de “sanciones dobles” y la evaluación clasificada de un tratamiento estricto. Al mismo tiempo, seguir de cerca e investigar las nuevas situaciones y problemas que surgen en el proceso de integración de las empresas y la tecnología en el contexto de la transformación digital, y seguir mejorando los requisitos reglamentarios pertinentes. Informes conexos
SFC re – Issue Regulatory circular, directly 2 Securities firms app Development Management Storage Short Board, 3 Fund official website has been infected with virus, Reiterating five Regulatory Requirements
