Le problème des « temps d’arrêt » fréquents dans l’industrie des fonds de valeurs mobilières a attiré l’attention des organismes de réglementation.
Les journalistes chinois des sociétés de valeurs mobilières ont appris que le Département des institutions de la c
Dans le même temps, les autorités de surveillance ont mis l’accent sur les exigences réglementaires, exhorté toutes les sociétés de valeurs mobilières et les sociétés de fonds à renforcer le contrôle interne de la conformité, à améliorer la capacité de garantie de l’exploitation et de l’entretien des systèmes d’information et à respecter strictement les résultats en matière de sécurité de l’information. La c
Selon les spécialistes du marché, la sécurité de l’information est essentielle pour les institutions de fonds de valeurs mobilières. Pour assurer le fonctionnement normal des investisseurs et le bon fonctionnement du marché des capitaux, il est nécessaire d’améliorer la capacité de soutien à l’exploitation et à l’entretien du système, de renforcer la gestion de la sécurité, d’accroître le soutien technique, de renforcer le contrôle interne et la gestion de la conformité, d’effectuer régulièrement une évaluation de la robustesse du système et d’éliminer rapidement les risques potentiels.
Le 16 mai, certains investisseurs ont indiqué que China Merchants Securities Co.Ltd(600999) app ne pouvait pas se connecter, China Merchants Securities Co.Ltd(600999)
Il y a deux mois, le 14 mars 2022, des internautes ont signalé sur la sector – forme sociale que China Merchants Securities Co.Ltd(600999)
« Cela a révélé que la gestion du contrôle interne de la conformité de certaines institutions n’était pas en place et qu’il y avait des maillons faibles dans le processus de mise à niveau et de transformation du système. L’avis indique que China Merchants Securities Co.Ltd(600999) Cela reflète le fait que le système de conformité et de contrôle interne de l’organisation concernée n’est pas parfait ou qu’il n’est pas mis en œuvre correctement, que le plan spécial de mise en œuvre n’a pas été formulé efficacement au cours de la phase de mise à niveau du système, qu’il existe des lacunes dans La gestion interne et qu’il n’y a pas eu d’examen, de confirmation et de suivi continu des opérations de changement.
Au cours de l’année écoulée, de nombreux événements liés à la sécurité du système d’information se sont produits dans les institutions de fonds de valeurs mobilières. Le 18 mai 2021, la procédure d’offre de la Bourse de Shanghai pour les titres initiaux a échoué. Après le dépannage, la cause de l’accident était une erreur logique Dans le paquet de mise à niveau lorsque l’Ingénieur du fournisseur de services logiciels a mis à niveau le système de gestion d’actifs déployé sur le même serveur. Cela reflète le fait que les parties concernées n’ont pas mis en œuvre efficacement les exigences pertinentes des mesures de gestion des technologies de l’information pour les organismes d’exploitation de fonds de valeurs mobilières, n’ont pas saisi de manière claire, précise et complète la structure technique, la logique opérationnelle et le processus d’exploitation des systèmes d’information importants et n’ont pas veillé à ce que le fonctionnement des systèmes d’information importants soit toujours sous leur contrôle. Il a été noté dans la circulaire qu’il s’agissait là d’un manque de sensibilisation à la responsabilité principale, d’une mauvaise exécution et d’une compréhension claire, précise et complète de l’architecture du système des logiciels fournis par les fournisseurs externes.
Premièrement, le personnel d’exploitation et d’entretien n’a pas établi de mécanisme efficace de gestion et d’examen des autorisations en raison de son manque de normalisation opérationnelle. Après le tri, six incidents liés à la sécurité du système d’information ont été causés par un fonctionnement irrégulier du personnel d’exploitation et d’entretien. Cela reflète l’omission de l’organisation concernée dans la conception des processus, la supervision et l’inspection des travaux d’exploitation et d’entretien, le fait que la gestion de la conformité et des risques ne couvre pas tous les aspects de l’application des technologies de l’information, le fait que le personnel concerné n’a pas suivi les Procédures d’exploitation normalisées et la faible sensibilisation à la sécurité et à la conformité au cours de l’exécution.
Deuxièmement, la gestion du développement d’applications mobiles est devenue un domaine où les incidents liés à la sécurité des systèmes d’information se produisent facilement. Le 25 avril 2022, le Centre national de traitement d’urgence des virus informatiques a informé 13 sociétés de valeurs mobilières qu’il y avait non – conformité à la protection de la vie privée dans leurs applications mobiles et qu’elles étaient soupçonnées de recueillir des renseignements personnels sur une base non exhaustive. Après le dépannage, les institutions concernées ont des problèmes tels que l’audit en ligne de l’application mobile n’est pas strict, le traitement incomplet de certains liens tels que l’annulation et l’expression imprécise du contenu de certains articles. Cela reflète le fait que certaines organisations de l’industrie n’ont pas réussi à synchroniser la gestion de la sécurité, la conception et le développement, l’application sur les étagères et la protection de la vie privée tout en réalisant la transformation numérique et en augmentant les investissements dans le développement d’applications mobiles.
Troisièmement, il existe des lacunes dans la gestion de la sécurité, de sorte que la capacité de protection du réseau doit encore être améliorée pour faire face aux attaques externes du réseau ou à l’accès aux Crawlers. Le 4 février, le 14 février et le 28 février 2022, trois sociétés de gestion de fonds se sont produites successivement des incidents de sécurité du réseau qui n’étaient pas accessibles au site Web officiel en raison de l’infection par des virus ou des Crawlers, ce qui reflète l’insuffisance de la capacité de protection de la sécurité du Réseau des parties concernées et l’incapacité de mettre en place un système de protection de la sécurité complet et efficace dans les domaines du contrôle d’accès, de la surveillance et de la protection des intrusions, de la protection contre les virus et de la sécurité du réseau.
Premièrement, accorder une grande importance à la gestion et améliorer la capacité de soutien à l’exploitation et à l’entretien du système. Premièrement, la responsabilité principale du compactage. Améliorer le système de gestion des technologies de l’information et le mécanisme de sanction et de responsabilisation, exhorter le « chef de file » de l’entreprise, le dirigeant principal de l’information et le personnel occupant des postes techniques clés à renforcer la sécurité des systèmes d’information en tout temps, à s’acquitter efficacement de leurs fonctions et à s’acquitter de leurs responsabilités et à bien gérer les opérations de sécurité de l’Organisation. Deuxièmement, renforcer la gestion de la sécurité. Améliorer le système et les mesures d’exploitation de la sécurité interne de l’entreprise, préciser les processus d’exploitation liés à la mise à niveau et à la transformation du système, à l’évaluation régulière de la sécurité, au dépannage des risques et aux exercices d’urgence pour les nouvelles entreprises et les nouveaux produits en ligne, améliorer le Mécanisme d’examen et de vérification de la sécurité et s’assurer que les mesures de gestion de la sécurité peuvent être mises en oeuvre, traçables et vérifiables. Troisièmement, renforcer le soutien technique. Compte tenu de la situation actuelle en matière de prévention et de contrôle des épidémies, accroître les investissements dans les technologies de l’information, améliorer les capacités opérationnelles du personnel technique, maintenir la stabilité du personnel technique de base, prendre des dispositions en matière de surveillance d’urgence et assurer efficacement le fonctionnement sécuritaire du système.
Deuxièmement, renforcer le contrôle interne et la gestion de la conformité afin de promouvoir la mise à niveau et la transformation du système. Premièrement, clarifier la répartition interne des responsabilités. Sur la base des travaux pertinents menés par le Département des technologies de l’information, intégrer les risques pour la sécurité de l’information dans le système global de gestion des risques, exercer les fonctions de contrôle et de contrôle des risques des départements de la conformité et du contrôle des risques sur les risques pour la sécurité de l’information et former un mécanisme de surveillance et de restriction mutuelles. Deuxièmement, formuler un plan de mise en œuvre spécial, vérifier pleinement la conception du processus, le réglage des fonctions, la configuration des paramètres et d’autres contenus pertinents, et mettre à niveau soigneusement les principaux systèmes d’information liés aux transactions et à d’autres liens opérationnels de base.
Troisièmement, améliorer les travaux d’essai du système, mettre en place un environnement d’essai spécial indépendant de l’environnement de production, enrichir les scénarios d’essai après la mise à niveau du système et renforcer les essais de résistance.
Troisièmement, effectuer régulièrement une évaluation de la robustesse du système afin d’éliminer les risques potentiels. Tout d’abord, il s’agit d’identifier de manière exhaustive et précise les risques techniques liés à la transformation numérique et de veiller à ce que la gestion de la conformité et des risques couvre tous les aspects de l’application des technologies de l’information. Deuxièmement, mettre en place et améliorer le mécanisme de surveillance de la sécurité du système d’information, établir des indicateurs de surveillance et surveiller en permanence l’état de fonctionnement des systèmes d’information importants. Troisièmement, effectuer régulièrement des audits spéciaux de la gestion des technologies de l’information afin d’examiner en profondeur les problèmes d’architecture des systèmes d’information et les risques techniques potentiels et de les corriger en temps opportun en fonction des résultats des audits.
Quatrièmement, appliquer strictement les exigences en matière de protection de l’information des clients et protéger efficacement les droits et intérêts légitimes des investisseurs. Premièrement, améliorer les mesures de sécurité technique, y compris, sans s’y limiter, l’isolement du réseau, l’authentification des utilisateurs, le contrôle d’accès, le chiffrement des données, la sauvegarde des données, la destruction des données, la prévention des virus et la surveillance des intrusions illégales, afin de protéger la sécurité des données et de prévenir la divulgation et la destruction de l’information. Deuxièmement, renforcer la gestion des systèmes d’information, le fonctionnement et la gestion des droits d’accès afin de s’assurer que les droits des utilisateurs correspondent aux responsabilités professionnelles. Troisièmement, mettre en œuvre les lois et règlements pertinents, renforcer la gestion des applications mobiles, améliorer le mécanisme d’examen et d’essai avant la publication, surveiller en permanence l’exécution des accords de confidentialité des institutions externes telles que les institutions de services informatiques, afin d’éviter la divulgation d’informations aux investisseurs en raison d’une mauvaise Gestion des institutions coopératives.
Cinquièmement, renforcer la gestion des capacités et la capacité de reprise après sinistre afin d’améliorer la capacité d’intervention d’urgence. Premièrement, mettre en œuvre les exigences en matière de gestion de la capacité du système et de renforcement de la capacité de sauvegarde, effectuer régulièrement des tests de résistance sur les principaux systèmes d’information en fonction de facteurs tels que la stratégie de développement de l’entreprise et l’échelle de l’entreprise, afin de s’assurer que la capacité répond aux besoins de développement de l’entreprise. Deuxièmement, formuler et améliorer continuellement le plan d’urgence et organiser régulièrement le personnel occupant des postes clés pour effectuer des exercices d’urgence conformément au plan d’urgence. Troisièmement, enrichir les scénarios d’intervention d’urgence, renforcer la « pratique réelle », trier et résumer régulièrement les problèmes découverts au cours de l’exercice et améliorer le mécanisme d’intervention d’urgence.
Au cours des dernières années, les organismes de réglementation ont accordé une grande importance à la sécurité des réseaux de l’industrie des valeurs mobilières et des contrats à terme. Les documents relatifs à la sécurité des réseaux de l’industrie des valeurs mobilières et des contrats à terme ont été publiés l’un après l’autre, et divers travaux visant à protéger le niveau de sécurité des réseaux ont également été activement promus. Entre – temps, les sociétés de valeurs mobilières continuent d’accroître leurs investissements dans les technologies de l’information. Depuis 2017, les investissements dans les technologies de l’information dans l’industrie des valeurs mobilières ont dépassé 110 milliards de RMB, mais la transformation numérique de l’industrie des valeurs mobilières est loin d’être achevée.
Les temps d’arrêt fréquents des sociétés de valeurs mobilières reflètent la stabilité du système de négociation et laissent beaucoup à désirer. Deng Zhidong, Directeur du Forum des 100 membres du Directeur financier de la Chine, a estimé que l’architecture du système d’infrastructure que les sociétés de valeurs mobilières ont construite au début n’a pas été en mesure de répondre aux besoins du développement des entreprises d’aujourd’hui. En même temps, en raison de la co – Construction et de la mise à niveau de l’architecture, de nombreux systèmes de négociation sont parallèles, ce qui non seulement rend la gestion de l’exploitation et de l’entretien beaucoup plus difficile, mais rend également la reconstruction du système plus difficile et
Selon le règlement sur la surveillance classifiée des sociétés de valeurs mobilières publié par la Commission chinoise de réglementation des valeurs mobilières, la gestion des technologies de l’information est l’un des six principaux indicateurs d’évaluation qui influeront sur le classement global des sociétés de valeurs mobilières. En outre, les dispositions relatives à la surveillance classifiée précisent clairement que si une société de valeurs mobilières est tenue d’apporter des corrections et d’augmenter le nombre d’inspections internes de conformité, un point est déduit à chaque fois.
La Commission de réglementation des valeurs mobilières a déclaré qu’au cours de la prochaine étape, le Département des institutions et chaque bureau de réglementation des valeurs mobilières continueront d’intensifier la surveillance et l’inspection du contrôle interne de la conformité et de la gestion des technologies de l’information des organismes d’exploitation des fonds de valeurs mobilières conformément au principe de la « surveillance pénétrante et de la responsabilité de l’ensemble de la chaîne», de mettre en œuvre une « double sanction» à l’égard des organismes qui ont des problèmes et du personnel responsable, et de les traiter strictement dans l’évaluation classifiée. Entre – temps, nous suivrons de près et étudierons les nouvelles situations et les nouveaux problèmes qui se posent au cours du processus d’intégration profonde des activités et de la technologie de l’industrie dans le contexte de la transformation numérique, et nous améliorerons continuellement les exigences réglementaires pertinentes.
rapports connexes
La Commission chinoise de réglementation des valeurs mobilières a publié à nouveau un avis de surveillance, faisant directement référence au Conseil d’administration du développement d’applications de deux sociétés de valeurs mobilières, et trois sites Web officiels de fonds ont été infectés par le virus, réaffirmant cinq exigences réglementaires.
