Le plus grand courtier en valeurs mobilières de Shenzhen China Merchants Securities Co.Ltd(600999) a Au cours de l’année écoulée, de nombreux incidents liés à la sécurité des systèmes d’information se sont produits dans les sociétés de valeurs mobilières et les sociétés de fonds. It is understood that the regulatory departments issued a period of the regulatory Briefing Notice of the institution to specifically inform the relevant information system security incidents.
Dans le présent rapport, la surveillance a analysé les raisons de nombreux incidents liés à la sécurité des systèmes d’information dans les institutions de fonds de valeurs mobilières sous de nombreux aspects, tels que la gestion du contrôle interne, la maîtrise de l’architecture du système, le personnel d’exploitation et d’entretien, la gestion du développement d’applications mobiles, etc. Dans le même temps, la réglementation précise cinq exigences afin d’assurer en permanence le fonctionnement sûr et stable du système d’information.
L’industrie a déclaré que, pour éviter les dangers potentiels, les organismes de gestion de fonds de valeurs mobilières devraient mettre en place un système de surveillance parfait, tout en évitant au maximum les risques opérationnels artificiels, en mettant l’accent sur l’amélioration de la capacité d’intervention d’urgence et le maintien de la sécurité et de la stabilité du système de négociation.
Récemment, certains investisseurs ont indiqué sur le réseau que China Merchants Securities Co.Ltd(600999) PC
Par coïncidence, le même jour, Huaxi Securities Co.Ltd(002926) Bien que la situation ait été résolue avant la fermeture anticipée, un certain nombre d’investisseurs ont déclaré avoir subi des pertes économiques en raison des temps d’arrêt du système de négociation.
Ce n’est pas la première fois que le China Merchants Securities Co.Ltd(600999)
Auparavant, China Merchants Securities Co.Ltd(600999)
China Merchants Securities Co.Ltd(600999)
Deux pannes en deux mois sont extrêmement rares pour un courtier en valeurs mobilières de 100 milliards de dollars. À cet égard, le 2 avril, le Bureau de réglementation des valeurs mobilières de Shenzhen a publié une annonce selon laquelle China Merchants Securities Co.Ltd(600999)
The Shenzhen Securities Regulatory Bureau stressed that the above – mentioned rectification should be completed within 3 months and submitted the rectification report to the Shenzhen Securities Regulatory Bureau. Cependant, ce qui n’était pas prévu à ce moment – là, c’est que la période de rectification de trois mois n’était pas encore atteinte et que le système China Merchants Securities Co.Ltd(600999)
En outre, le système de négociation de Guosen Securities Co.Ltd(002736) a également échoué le 15 mars. À ce moment – là, certains investisseurs ont indiqué que Guosen Securities Co.Ltd(002736)
Il convient de noter que des défaillances similaires des systèmes d’information et des incidents de sécurité ne se produisent pas seulement dans les sociétés de valeurs mobilières. Le 4 février, le 14 février et le 28 février 2022, trois sociétés de gestion de fonds ont été touchées successivement par des incidents de cybersécurité qui n’étaient pas accessibles au site officiel en raison d’une infection virale ou d’un crawler.
Sword Finger Information System Security Event
Les journalistes ont été informés que, compte tenu de la fréquence des défaillances du système de négociation, le Département de la surveillance des institutions de fonds de valeurs mobilières a publié un rapport spécial sur les cas d’incidents liés à la sécurité du système d’information dans le nouveau numéro de la circulaire sur la surveillance des institutions, à titre de référence pour l’ensemble de l’industrie.
La circulaire souligne que, récemment, de nombreux organismes de gestion de fonds de valeurs mobilières ont connu des incidents liés à la sécurité des systèmes d’information, en particulier China Merchants Securities Co.Ltd(600999) Les autorités de surveillance mènent des enquêtes conformément à la loi et s’occupent sérieusement des institutions compétentes et du personnel responsable.
En ce qui concerne les principaux types d’événements et les problèmes qui en résultent, les autorités de surveillance ont procédé à une analyse concrète sous cinq aspects. Premièrement, la gestion du contrôle interne de la conformité de certaines entreprises n’est pas en place et il existe des maillons faibles dans le processus de mise à niveau et de reconstruction du système.
En prenant comme exemple China Merchants Securities Co.Ltd(600999) Cela reflète le fait que le système de conformité et de contrôle interne de l’organisation concernée n’est pas parfait ou n’est pas mis en œuvre correctement.
Deuxièmement, le sens principal de la responsabilité n’est pas fort, l’exécution n’est pas efficace, n’a pas une compréhension claire, précise et complète de l’architecture logicielle fournie par les fournisseurs externes.
Par exemple, la procédure d’appel d’offres de la Bourse de Shanghai pour First Securities s’est rompue le 18 mai de l’année dernière. Après enquête, l’accident a été causé par une erreur logique dans le paquet de mise à niveau lorsque l’Ingénieur du fournisseur de services logiciels a mis à niveau le système de gestion des actifs déployé sur le même serveur, ce qui indique que les institutions concernées n’ont pas mis en œuvre efficacement les mesures et exigences pertinentes.
Troisièmement, le personnel d’exploitation et d’entretien n’est pas suffisamment normalisé pour mettre en place un mécanisme efficace de gestion et d’examen des autorisations. Après le tri, six incidents liés à la sécurité du système d’information ont été causés par un fonctionnement irrégulier du personnel d’exploitation et d’entretien. Il reflète les lacunes de la conception du processus, de la supervision et de l’inspection des travaux d’exploitation et d’entretien.
Quatrièmement, la gestion du développement d’applications mobiles est devenue un domaine de sécurité des systèmes d’information. Le 25 avril 2022, le Centre national de traitement d’urgence des virus informatiques a informé 13 sociétés de valeurs mobilières qu’il y avait non – conformité à la protection de la vie privée dans leurs applications mobiles et qu’elles étaient soupçonnées de recueillir des renseignements personnels sur une base non exhaustive. Cela reflète le fait que certaines organisations de l’industrie n’ont pas réussi à gérer la sécurité de façon synchrone tout en réalisant la transformation numérique et en augmentant les investissements dans le développement d’applications mobiles.
Cinquièmement, il existe des vulnérabilités dans la gestion de la sécurité, de sorte que la capacité de protection du Réseau contre les attaques externes du réseau ou l’accès au crawler doit encore être améliorée.
Par exemple, l’année dernière, trois sociétés de fonds ont connu des incidents de cybersécurité consécutifs, ce qui reflète l’insuffisance de la capacité de protection de la sécurité du réseau des parties concernées et l’incapacité de mettre en place un système de protection de la sécurité complet et efficace dans les domaines du contrôle d’accès, de la surveillance et de la protection des intrusions, de la protection contre les virus et de la sécurité du réseau.
Les exigences sont également énoncées dans la circulaire. Le rapport souligne que 2022 est l’année de la victoire du parti et l’année clé de l’approfondissement global de la réforme du marché des capitaux. Les organismes de gestion de fonds de valeurs mobilières sont invités à prendre des contre – mesures pour résoudre les problèmes susmentionnés, à procéder à une auto – inspection et à une rectification sérieuses, à protéger les droits et intérêts légitimes des investisseurs et à assurer en permanence le fonctionnement sûr et stable du système d’information.
Premièrement, accorder une grande attention et renforcer la gestion afin d’améliorer efficacement la capacité de soutien à l’exploitation et à l’entretien du système. Premièrement, la responsabilité principale du compactage. Améliorer le système de gestion des technologies de l’information et le mécanisme de sanction et de responsabilisation, exhorter le « chef de file » de l’entreprise, le dirigeant principal de l’information et le personnel occupant des postes techniques clés à renforcer la sécurité des systèmes d’information en tout temps, à s’acquitter efficacement de leurs fonctions et à s’acquitter de leurs responsabilités et à bien gérer les opérations de sécurité de l’Organisation.
Deuxièmement, renforcer la gestion de la sécurité. Troisièmement, renforcer le soutien technique. Compte tenu de la situation actuelle en matière de prévention et de contrôle des épidémies, accroître les investissements dans les technologies de l’information, améliorer les capacités opérationnelles du personnel technique, maintenir la stabilité du personnel technique de base et prendre des dispositions en matière de surveillance d’urgence.
Deuxièmement, renforcer le contrôle interne et la gestion de la conformité afin de promouvoir la mise à niveau et la reconstruction du système. Premièrement, clarifier la répartition interne des responsabilités. Deuxièmement, formuler un plan de mise en œuvre spécial, vérifier pleinement la conception du processus, le réglage des fonctions, la configuration des paramètres et d’autres contenus pertinents, et mettre à niveau soigneusement les principaux systèmes d’information liés aux transactions et à d’autres liens opérationnels de base. Troisièmement, améliorer le système
Travaux d’essai, renforcement des essais de résistance.
Troisièmement, effectuer régulièrement une évaluation de la robustesse du système afin d’éliminer les risques potentiels. Tout d’abord, il s’agit d’identifier de manière exhaustive et précise les risques techniques liés à la transformation numérique et de veiller à ce que la gestion de la conformité et des risques couvre tous les aspects de l’application des technologies de l’information.
Deuxièmement, mettre en place et améliorer le mécanisme de surveillance de la sécurité du système d’information. Troisièmement, effectuer régulièrement des audits spéciaux de la gestion des technologies de l’information afin de résoudre en profondeur les problèmes d’architecture des systèmes d’information et les risques techniques potentiels et de les corriger en temps opportun.
Quatrièmement, appliquer strictement les exigences en matière de protection de l’information des clients et protéger efficacement les droits et intérêts légitimes des investisseurs. Premièrement, améliorer les mesures de sécurité technique, deuxièmement, renforcer la gestion du système d’information, troisièmement, mettre en œuvre les lois et règlements pertinents et renforcer la gestion des applications mobiles.
Cinquièmement, renforcer la gestion des capacités et le renforcement des capacités de reprise après sinistre afin d’améliorer la capacité d’intervention d’urgence. Premièrement, mettre en œuvre les exigences en matière de gestion de la capacité du système et de renforcement de la capacité de sauvegarde, effectuer régulièrement des tests de résistance sur les principaux systèmes d’information en fonction de facteurs tels que la stratégie de développement de l’entreprise et l’échelle de l’entreprise, afin de s’assurer que la capacité répond aux besoins de développement de l’entreprise. Deuxièmement, élaborer et améliorer continuellement le plan d’urgence et, troisièmement, enrichir les scénarios d’intervention d’urgence.
Au cours de la prochaine étape, le Département de l’Organisation et chaque bureau de réglementation des valeurs mobilières continueront d’intensifier la supervision et l’inspection du contrôle interne de la conformité et de la gestion des technologies de l’information des organismes d’exploitation des fonds de valeurs mobilières, conformément au principe de la « surveillance pénétrante et de la responsabilité de l’ensemble de la chaîne », d’appliquer des « peines doubles » aux organismes et aux personnes responsables qui ont des problèmes et de les traiter strictement dans l’évaluation classifiée.
En fait, l’industrie des fonds de valeurs mobilières est déjà entrée dans la phase de construction de l’information et de développement synchrone des activités. Le fonctionnement normal de l’Organisation ne peut pas être séparé du soutien des actifs de données, y compris l’information sur les clients, les données de transaction et diverses données importantes.
Depuis 2017, l’industrie des valeurs mobilières a investi plus de 110 milliards de RMB dans les technologies de l’information, mais la transformation numérique de l’industrie des valeurs mobilières est loin d’être achevée.
Les chefs d’entreprise de Hengtai Securities estiment que la voie et la méthode de la transformation numérique sont relativement claires à ce stade, mais qu’ils rencontreront plus ou moins des problèmes liés à la culture d’entreprise existante, à la sector – forme technologique, à la structure organisationnelle et aux intrants et extrants au cours du processus de transformation.
De haut en bas, il est nécessaire de maintenir la stabilité stratégique et d’assurer la mise en œuvre de la Stratégie numérique; De bas en haut, nous devons choisir le chemin d’exécution qui correspond à la dotation de l’entreprise. Ce n’est qu’en faisant ce que nous faisons d’abord, ce que nous faisons plus et ce que nous faisons moins, plutôt qu’en imitant aveuglément les grandes entreprises de l’industrie, que nous pourrons sortir d’une transformation numérique réussie.
Les responsables compétents du siège social de Shanghai Securities finance Technology estiment que la transformation numérique ne consiste pas simplement à mettre en place des systèmes, des sectors – formes de construction et des données d’atterrissage, mais qu’elle implique une transformation globale de la philosophie, de la culture, de l’Organisation, du type d’entreprise, de La gestion et des processus de l’entreprise, et qu’elle devrait être pleinement associée à ses propres dotations en ressources afin d’améliorer la qualité et l’efficacité des services financiers en valeurs mobilières axés sur le client et de réduire les coûts et les risques d’exploitation de l Explorer activement l’intégration des chaînes écologiques internes dans l’écosystème externe afin de remodeler numériquement les processus opérationnels et les modèles d’affaires. Toutefois, pour atteindre ces objectifs, il est encore difficile d’adapter le système et le mécanisme aux objectifs de transformation, d’investir relativement peu de ressources, d’améliorer le niveau et la qualité des données et de faire face à la pénurie de talents composés.
La c
Les mesures de gestion mettent l’accent sur la nécessité d’une gouvernance des données, d’une responsabilité claire en matière de gestion de la sécurité des données et indiquent que l’Organisation doit améliorer le système de réseau pour protéger les données opérationnelles et la sécurité de l’information des clients et prévenir les fuites de données.
Les mesures de la Commission chinoise de réglementation des valeurs mobilières relatives à la gestion des technologies de l’information pour les organismes d’exploitation de fonds de valeurs mobilières précisent également que « les organismes d’exploitation de fonds de valeurs mobilières devraient améliorer les mesures de sécurité telles que l’isolement du réseau, l’authentification des utilisateurs, le contrôle de L’accès, le chiffrement des données, la sauvegarde des données, la destruction des données, l’enregistrement des journaux, la prévention des virus et la détection illégale des intrusions, afin de protéger les données d’exploitation et les renseignements sur les clients
En ce qui concerne la sécurité des données des sociétés de gestion de fonds, l’industrie a indiqué que, compte tenu de la dépendance croissante de l’industrie financière à l’égard des technologies de l’information et des applications informatiques, les sociétés de gestion de fonds attirent de plus en plus l’attention sur la façon d’assurer un fonctionnement stable et efficace des systèmes d’information.
Au cours des dernières années, la sécurité des données dans les entreprises de fonds a été progressivement placée au premier plan, y compris la portée de l’utilisation des données, le flux, la copie et l’altération.
