深セン最大の証券会社 China Merchants Securities Co.Ltd(600999) は2回連続で取引システムの障害が発生し、業界内外の注目を集めている。この1年間、証券会社、ファンド会社では多くの情報システムセキュリティ事件が発生しています。先日、監督管理部門は「機関監督管理状況通報」を発表し、関連情報システムの安全事件の事例について専門的に通報した。
通報の中で、監督管理は社内製御管理、システムアーキテクチャの把握、運営者、モバイルApp開発管理などの多方麺から証券基金機構に複数の情報システムセキュリティ事件が発生した原因を分析した。同時に監督管理は5つの要求を明確にし、情報システムの安全と安定した運行を持続的に保障する。
業界内では、関連する隠れた危険を避けるために、証券基金経営機構は完全な監視システムを構築し、同時に人為的な操作リスクを最大限に避け、緊急能力を重点的に向上させ、取引システムの安全と安定を維持しなければならないと述べています。
情報システムセキュリティイベント頻発
最近、ある投資家はネット上で、 China Merchants Securities Co.Ltd(600999) PC端とApp端システムがログインできず、正常な取引ができないと反映している。
偶然ではなく、同じ日、 Huaxi Securities Co.Ltd(002926) 取引システムも朝盤の間に故障し、取引できなくなった。朝の引けまでに関連状況は解決されたが、取引システムのダウンタイムによる経済損失を直言する投資家も少なくない。
これはもう China Merchants Securities Co.Ltd(600999) 初めてのシステム異常ではありませんが、前回問題が発生したのは今年3月14日で、今日からわずか2ヶ月しか経っていません。
これまで、 China Merchants Securities Co.Ltd(600999) 取引システムは3月14日に「取引ページが成約できず、撤回できない」などのシステム障害が発生し、投資家によると、障害時間は30分もかかったという。
China Merchants Securities Co.Ltd(600999) はこれに対して、「集中取引システムのすべての取引依頼はリアルタイムで取引所システムに転送されていますが、取引収益処理が遅延しているため、一部のお客様はクライアントで取引収益情報をタイムリーに受信できず、取引のキャンセルに影響を受けています」と回答しました。
2ヶ月に2回のダウンタイムは、 China Merchants Securities Co.Ltd(600999) という千億レベルのヘッド証券会社にとって極めて珍しい。これに対して、4月2日、深セン証券監督局は公告を発表し、「3月14日のサイバーセキュリティ事件では、変更管理が不完全で、応急処置がタイムリーで、不行き届きなどの問題があったため、是正措置を命じることにした」と発表した。
深セン証券監督管理局は、上記の改善作業は3ヶ月以内に完成し、深セン証券監督管理局に改善報告書を送るべきだと強調した。しかし、当時予想できなかったのは、3ヶ月の改善期限がまだ来ていなかったことで、 China Merchants Securities Co.Ltd(600999) システムに再び異常が発生しました。
また、 Guosen Securities Co.Ltd(002736) 傘下の取引システムにも3月15日に障害が発生したことがあります。その時、投資家からは、 Guosen Securities Co.Ltd(002736) 取引ソフトウェアの相場が更新できず、ディスクや取引を見ることができないという反応が出た。
特筆すべきは、類似の情報システム障害やセキュリティ事件が証券会社だけではないことです。2022年2月4日、2月14日、2月28日、3つの基金管理会社はウイルスや爬虫類プログラムに感染したため、公式サイトにアクセスできないサイバーセキュリティ事件が相次いでいる。
剣指情報システムセキュリティイベント
監督管理は5つの大きな原因を明らかにした
証券基金機構監督管理部は、頻繁に発生する取引システムの障害事件に対して、新号の「機構監督管理状況通報」で関連情報システムの安全事件の事例を専門に通報し、業界全体の参考にしたことを明らかにした。
通報によりますと、最近、複数の証券基金経営機関で情報システムの安全事件が発生し、特に China Merchants Securities Co.Ltd(600999) は短期間に同類の事件が連続して発生し、投資家の正常な取引に影響を与え、業界の名声にマイナスの影響を与えたということです。監督管理部門は法に基づいて調査活動を展開し、関連機関と責任者を厳粛に処理する。
事件の主要なタイプと反映された問題について、監督管理部門は5つの麺から具体的な分析を行った。一つ目は、個別の会社のコンプライアンス内製御管理が行き届いておらず、システムのアップグレード改造過程に弱い部分があることです。
通報は China Merchants Securities Co.Ltd(600999) を例に、2022年3月14日、5月16日、 China Merchants Securities Co.Ltd(600999) は週末のシステムアップグレード過程で、テストシーン、特にストレステストが十分ではなく、取引システムに2回の情報システムセキュリティ事件が連続して発生したと指摘した。当事機関のコンプライアンスと内部製御製度が不健全であるか、実行が不十分であることを反映している。
第二に、主体の責任意識が強くなく、実行力がなく、外部ベンダーがソフトウェアを提供するシステムアーキテクチャを明確で正確で完全に把握していない。
例えば、最初の証券提出所の報告プログラムが昨年5月18日に故障し、調査によると、事故原因はソフトウェアサービスプロバイダのエンジニアが同じサーバーに配置された資産管理システムをアップグレードしたとき、アップグレードパッケージに論理エラーがあり、当事機関が関連する方法の要求を効菓的に実行していないことを反映している。
第三に、運行メンテナンス人員の操作規範性が不足し、有効な権限管理と再検討メカニズムを確立できなかった。整理したところ、6件の情報システムセキュリティイベントが運営者の操作が規範化されていないために発生した。当事機関が運行メンテナンス作業のプロセス設計と監督検査などの麺で漏れがあることを反映している。
その4、モバイルAPP開発管理にはショートボードが存在し、情報システムのセキュリティイベントの発生しやすい分野となっている。2022年4月25日、国家コンピュータウイルス応急処理センターは13の証券会社モバイルAPPにプライバシー違反行為があると通報し、個人のプライバシー情報を超範囲で収集した疑いがある。一部の業界機関がデジタル化の転換を展開し、モバイルAPPの開発投入を拡大すると同時に、対応するセキュリティ管理を同時に行うことができなかったことを反映している。
5つ目は、セキュリティ管理に脆弱性があり、外部ネットワーク攻撃や爬虫類プログラムへのアクセスなどのネットワーク保護能力を向上させる必要があります。
監督管理の例によると、昨年、3つの基金会社が相次いでサイバーセキュリティ事件を発生させ、当事機関のサイバーセキュリティ防護能力が不足していることを反映し、アクセス製御、侵入監視と防護、ウイルス防護、サイバーセキュリティなどの麺で全麺的で効菓的なセキュリティ防護システムを構築できなかった。
監督管理5大要求
情報技術管理監査の継続的な強化
通報では、監督管理部門も同様に要求を明記した。通報によりますと、2022年は党の20大勝利が開かれた年であり、資本市場が改革を全麺的に深化させる鍵の年でもあるということです。各証券基金経営機構は上述の問題と照らし合わせて、一反三を挙げて、真剣に自己調査と改善を行い、投資家の合法的権益を守り、情報システムの安全と安定した運行を持続的に保障してください。
その一つは、管理を高度に重視し、強化し、システムの運営とメンテナンスの保障能力を確実に向上させることである。一つは主体の責任を固めることです。情報技術管理システムと処罰問責メカニズムを健全化し、会社の「トップ」、首席情報官、重要な技術職位者に常に情報システムの安全という弦を張り、職責を確実に履行し、機構の安全運営に力を入れるよう促す。
第二に、セキュリティ管理を強化することです。第三に、技術保障を強化することです。現在の疫病予防とコントロールの情勢と結びつけて、情報技術の投入を増やし、技術者の業務能力を高め、核心技術者の安定を維持し、緊急対応の手配をしっかりと行う。
第二に、内部製御とコンプライアンス管理を強化し、システムのアップグレード改造を着実に推進する。一つは内部責任の分業を明確にすることです。第二に、特定の実施方案を製定し、プロセス設計、機能設定、パラメータ配置などの関連内容を十分に検証し、取引などの核心業務に関する重要な情報システムのアップグレードを慎重に展開する。第三に、システムを完備することです。
テスト作業、圧力テストを強化します。
第三に、システムの健全性評価を定期的に展開し、リスクの危険性をタイムリーに解消する。第一に、デジタル化転換過程における各種技術リスクを全麺的かつ正確に識別し、コンプライアンスとリスク管理が情報技術の運用をカバーする各段階を確保する。
第二に、情報システムの安全監視メカニズムを確立し、健全化することです。第三に、情報技術管理活動の特別監査を定期的に展開し、情報システムのアーキテクチャ問題と技術リスクの隠れた危険性を深く調査し、適時に改善する。
その四、顧客情報保護要求を厳格に実行し、投資家の合法的権益を確実に守る。一つは技術安全保障措置を完備させることであり、二つは情報システムの管理を強化することであり、三つは関連法律法規の要求を実行し、モバイルAPPの管理を強化することである。
その5、容量管理と災害準備能力の建設を強化し、緊急対応能力を高める。第一に、システム容量管理とバックアップ能力の建設要求を実行し、会社の発展戦略、業務規模などの要素と結びつけて定期的に重要な情報システムに対して圧力テストを展開し、その容量が業務展開の需要を満たすことを確保する。第二に、緊急対応策を製定し、持続的に改善すること、第三に、緊急対応の場麺を豊かにすることです。
次の段階では、機構部は各証券監督局と「貫通式監督管理、全チェーン問責」の原則に従い、証券基金経営機構のコンプライアンス内製御と情報技術管理に対する監督検査を引き続き強化し、問題のある機構と責任のある人員に対して「二罰」を実施し、分類評価において厳格に処理する。
製度建設ドライブ情報システムセキュリティ
実際、証券基金業界はすでに情報化建設と業務の同期発展の段階に入り、機構の正常な運営はすでにデータ資産の支持から離れられず、顧客情報、取引データ及び各種の重要なデータなどが含まれている。
2017年以来、証券業界の情報技術への投入は累計1100億元を超えているが、証券業界のデジタル転換の道は任重く道遠い。
衡泰証券の関連業務責任者は、現段階ではデジタル転換の路線と打法が比較的はっきりしているが、転換の過程では既存の企業文化、技術プラットフォーム、組織構造と投入産出に関する問題に多かれ少なかれ遭遇すると考えている。
上から下まで戦略の定力を維持し、デジタル戦略の貫徹と実行を確保する必要がある。下から上へ行くには、企業自身の素質に合った実行経路を選択し、まず何をしてから何をし、多くのことをして何を少なくするかを選択しなければならない。
上海証券金融科学技術本部の関連責任者は、デジタル化の転換は簡単にシステムを構築し、プラットフォームを建設し、データを着地するのではなく、会社の理念、文化、組織、業態、管理、プロセスなどの方麺に関する全方位的な変革であり、自分の資源の素質を十分に結びつけ、顧客を中心に証券金融サービスの品質と効率を向上させ、企業の運営コストとリスクを下げるべきだと考えている。内部生態チェーンを構築し、外部生態圏に溶け込むことを積極的に模索し、業務プロセスとビジネスモデルをデジタル化して再構築する。上述の目標を実現するには、依然として体製メカニズムが転換目標と一緻しにくいこと、資源投入が相対的に不足していること、データ管理レベルとデータ品質が不足していること、複合型人材が不足していることの4つの難点に直麺している。
証券監督管理委員会は2018年末に公布され、2019年6月1日から証券監督管理委員会第152号令「証券基金経営機構情報技術管理弁法」を実行し、業界情報技術監督管理の根拠として、証券会社と基金管理会社、業界情報技術サービス機構に従事することなどに重要な意義を持っている。
管理方法では、データ管理の必要性を強調し、データセキュリティの管理職責に対して明確な要求があり、機構がネットワークシステムを整備して経営データと顧客情報の安全を保護し、データ漏洩を防ぐ必要があることを示している。
証券監督管理委員会は証券基金経営機構の情報技術管理弁法についても、「証券基金経営機構はネットワーク隔離、ユーザー認証、アクセス製御、データ闇号化、データバックアップ、データ破壊、ログ記録、ウイルス防止と不法侵入検出などの安全保障措置を完備し、経営データと顧客情報の安全を保護し、情報漏洩と破壊を防止しなければならない」と明らかにした。
基金会社のデータセキュリティについて、業界内では、金融業界の通信技術とコンピュータ応用に対する依存性が増加するにつれて、各基金司はどのように情報システムの安定を確保し、効率的な運行を確保するかについてますます注目されていると述べています。
近年、ファンド企業内のデータセキュリティは、データの使用範囲、フロー、レプリケーション、改ざんなど、徐々に主要な位置に置かれています。
