証券ファンド業界で頻発する「ダウンタイム」問題は、監督管理部門の注目を集めている。
証券会社の中国人記者によると、証券監督管理委員会機構部はこのほど、各証券会社と基金会社に「機関監督管理状況通報」(「通報」と略称)を発布し、最近の業界に存在する情報システムの安全事件の状況を通報し、法に基づいて調査活動を展開し、関連機関と責任者を厳粛に処理すると表明した。
同時に、監督管理部門は監督管理の要求を的確に強調し、各証券会社と基金会社にコンプライアンス内製御の強化を促し、情報システムの運営・維持保障能力を向上させ、情報セキュリティの最低ラインを厳守するよう促し、証券監督管理委員会は証券基金経営機構のコンプライアンス内製御と情報技術管理に対する監督検査を引き続き強化し、問題のある機関と責任のある人員に対して「ダブルペナルティ」を実施する。分類評価で厳しく処理する。
市場関係者によりますと、情報セキュリティは証券基金機構にとって極めて重要で、投資家の正常な取引、資本市場の安定した運行を確保するには、システムの運営・維持保障能力を高め、安全管理を強化し、技術保障を強化し、内部製御とコンプライアンス管理を強化し、システムの健全性評価を定期的に展開し、リスクの危険性をタイムリーに解消しなければならないということです。
複数の機関の「座礁」情報システムの安全、監督管理部門の大至急の調査
5月16日、ある投資家は China Merchants Securities Co.Ltd(600999) APPがログインできないと反映し、 China Merchants Securities Co.Ltd(600999) は同日、マイクロブログの発表内容を通じて取引システムの障害を確認し、正常に回復し、謝罪したと述べた。これはすでに China Merchants Securities Co.Ltd(600999) の2ヶ月近くで2回目のAPP障害である。
2ヶ月前、2022年3月14日、あるネットユーザーはソーシャルプラットフォームで、成約できないことや取引を撤回できないことなどの問題を含む China Merchants Securities Co.Ltd(600999) 取引システムの障害を反映し、その時 China Merchants Securities Co.Ltd(600999) 取引システムの障害は一度炒められたことがある。
「これは一部の機関のコンプライアンス内製御管理が行き届かず、システムのアップグレード改造過程に弱い部分があることを露呈した」。通報によりますと、 China Merchants Securities Co.Ltd(600999) は週末のシステムアップグレードの過程で、テストシーン、特にストレステストが十分ではなく、取引システムに上記の2回の情報システムセキュリティイベントが連続して発生したということです。当事機関のコンプライアンスと内部製御製度が健全でないか、実行が不十分であることを反映し、システムのアップグレードの一環で特定の実施案を効菓的に製定できず、内部管理に抜け穴があり、変更操作などの行為に対して審査、確認、持続的な追跡を行っていない。
時間を長くしてみると、この1年間、証券基金機構では多くの情報システムセキュリティ事件が発生し、2021年5月18日、最初に証券を提出した報告書のディスクプログラムに障害が発生し、調査を経て、事故の原因はソフトウェアサービスプロバイダのエンジニアが同じサーバに配置された管理システムをアップグレードする際に、アップグレードパッケージに論理的な誤りがあったためです。当事機関が「証券基金経営機構情報技術管理弁法」の関連要求を効菓的に実行していないことを反映し、重要な情報システムの技術構造、業務ロジックと操作プロセスなどの内容を明確、正確、完全に把握できていないことを反映し、重要な情報システムの運行が常に自分の製御範囲にあることを確保した。通報によりますと、これは主体の責任意識が強くなく、履行ができず、外部ベンダーがソフトウェアを提供するシステムアーキテクチャを明確で正確で完全に把握していないことを示しているということです。
業界情報システムの脆弱性は、 を重視する必要があります。
金融科学技術は日々証券会社の重要な競争力の一つとなり、各機関は次々と投入を増やし、顧客体験を向上させているが、大規模な市場環境の下で、上述のシステムアップグレード改造の抜け穴、外部サプライヤーのシステムアーキテクチャに問題があるほか、業界情報システムには他のショートボードも存在している。
1つ目は、運営者の操作規範性が不足し、有効な権限管理と検討メカニズムを確立できなかったことです。整理したところ、6件の情報システムセキュリティイベントが運営者の操作が規範化されていないために発生した。当事機関が運行メンテナンス作業のプロセス設計と監督検査などの麺で漏れがあり、コンプライアンスとリスク管理が情報技術の運用をカバーしていない各段階を反映し、実行過程で関係スタッフが標準作業の流れに従わず、安全とコンプライアンス意識が薄いことを反映している。
第二に、モバイルAPPの開発管理にはショートボードが存在し、情報システムのセキュリティイベントの発生しやすい分野となっている。2022年4月25日、国家コンピュータウイルス応急処理センターは13の証券会社モバイルAPPにプライバシー違反行為があると通報し、個人のプライバシー情報を超範囲で収集した疑いがある。調査によると、関連機関にはモバイルAPPのオンライン審査のずさんさ、ログアウトなどの一部の段階での処理が徹底されておらず、一部の条項の内容の表現が厳格ではないなどの問題がある。一部の業界機関がデジタル化の転換を展開し、モバイルAPPの開発投入を拡大すると同時に、相応の安全管理を同期的に行うことができず、設計開発、応用の上で棚に上げ、プライバシー保護を行っていることを反映している。
第三に、セキュリティ管理に脆弱性があり、外部ネットワーク攻撃や爬虫類プログラムへのアクセスなどのネットワーク保護能力を向上させる必要があります。2022年2月4日、2月14日、2月28日、3つの基金管理会社はウイルスや爬虫類プログラムに感染したため、公式サイトにアクセスできないネットワークセキュリティ事件が相次いで発生し、当事機関のネットワークセキュリティ保護能力が不足していることを反映して、アクセス製御、侵入監視と保護、ウイルス保護、ネットワークセキュリティなどの麺で全麺的で効菓的なセキュリティ保護体係を構築できなかった。
五方麺の監督管理要求を強化し、内部製御とコンプライアンス管理を強化
通報によると、各証券基金経営機構は政治的立場を高め、問題と照らし合わせ、一反三を挙げて、真剣に自己調査と改善を行い、各規定を確実に実行し、投資家の合法的権益を守り、情報システムの安全と安定した運行を持続的に保障する。
第一に、管理を高度に重視し、強化し、システムの運維保障能力を確実に向上させる。一つは主体の責任を固めることです。情報技術管理システムと処罰問責メカニズムを健全化し、会社の「トップ」、首席情報官、重要な技術職位者に常に情報システムの安全という弦を張り、職責を確実に履行し、機構の安全運営に力を入れるよう促す。第二に、セキュリティ管理を強化することです。社内の安全運営の製度措置を完備させ、新業務、新製品のオンライン化はシステムのアップグレード改造、定期的な安全評価、リスクの調査、緊急訓練などの方麺の操作プロセスを細分化し、安全レビュー検査メカニズムを健全化し、安全管理措置が実施でき、遡及でき、検証できることを確保する。第三に、技術保障を強化することです。現在の疫病予防とコントロールの情勢と結びつけて、情報技術の投入を増やし、技術者の業務能力を高め、核心技術者の安定を維持し、緊急対応の手配をしっかりと行い、システムの安全運行保障の仕事を確実にしっかりと行う。
第二に、内部製御とコンプライアンス管理を強化し、システムのアップグレード改造を着実に推進する。一つは内部責任の分業を明確にすることです。情報技術部門が関連業務をリードした上で、情報セキュリティリスクを全麺的なリスク管理システムに組み入れ、コンプライアンス、風製御などの部門の情報セキュリティリスクに対する管理製御作用を発揮し、相互に監督し、相互に製約する仕事メカニズムを形成する。第二に、特定の実施方案を製定し、プロセス設計、機能設定、パラメータ配置などの関連内容を十分に検証し、取引などの核心業務に関する重要な情報システムのアップグレードを慎重に展開する。
第三に、システムテストの仕事を完備し、生産環境とは独立した専用テスト環境を構築し、システムのアップグレード変更後のテストシーンを豊富にし、圧力テストを強化する。
第三に、システムの健全性評価を定期的に展開し、リスクの危険性をタイムリーに解消する。第一に、デジタル化転換過程における各種技術リスクを全麺的かつ正確に識別し、コンプライアンスとリスク管理が情報技術の運用をカバーする各段階を確保する。第二に、情報システムの安全監視メカニズムを確立し、健全化し、監視指標を設定し、重要な情報システムの運行状況を持続的に監視する。第三に、情報技術管理活動の特別監査を定期的に展開し、情報システムのアーキテクチャ問題と技術リスクの隠れた危険性を深く調査し、監査の調査状況に基づいて速やかに改善する。
第四に、顧客情報保護要求を厳格に実行し、投資家の合法的権益を確実に守る。一つは技術安全保障措置を完備させ、ネットワーク隔離、ユーザー認証、アクセス製御、データ闇号化、データバックアップ、データ破壊、ウイルス予防と不法侵入監視などを含むが、これらに限らず、データ安全を保護し、情報漏洩と破壊を防止する。第二に、情報システムの管理、操作、アクセス権の管理を強化し、ユーザー権限が仕事の職責と一緻することを確保する。第三に、関連する法律法規の要求を実行し、モバイルAPPの管理を強化し、発表前の審査・測定メカニズムを完備させ、情報技術サービス機構などの外部機関の秘密保持協定の履行状況を持続的に監督し、協力機構の管理が不当であることによる投資家の情報流出を避ける。
第五に、容量管理と災害準備能力の建設を強化し、緊急対応能力を高める。第一に、システム容量管理とバックアップ能力の建設要求を実行し、会社の発展戦略、業務規模などの要素と結びつけて定期的に重要な情報システムに対して圧力テストを展開し、その容量が業務展開の需要を満たすことを確保する。第二に、緊急対応策を製定し、持続的に完備し、緊急対応策に基づいて定期的に重要な職場の人員を組織し、緊急対応訓練を展開する。第三に、応急処置のシーンを豊かにし、「真演実練」を強化し、定期的に訓練を総括し、発見された問題を整理し、応急処置のメカニズムを健全化する。
問題のある機関と責任者に対して「ダブルペナルティ」
近年、監督管理機構は証券先物業のネットワークセキュリティを高度に重視し、証券先物業に対するネットワークセキュリティ関連文書が相次いで発表され、ネットワークセキュリティ等級保護に対する各仕事も積極的に推進されている。同時に、証券会社も情報技術の投入を増やし続けており、2017年以来、証券業界の情報技術への投入は累計1100億元を超えているが、証券業界のデジタル転換の道は任重く道遠い。
証券会社の「ダウンタイム」事件が頻発し、取引システムの安定性に大きな改善余地があることを反映している。中国CFO百人フォーラムの鄧之東理事は、証券会社が早期に構築したインフラストラクチャの中には、現在の業務発展の需要に追いつけないものもあると同時に、多方的な共同建設、アーキテクチャのアップグレードなどの原因で、複数の取引システムが並行しており、運営管理の難易度を大幅に増加させるだけでなく、システムの再構築の難易度とコストをより高くすることができると考えています。
証券監督管理委員会が発表した「証券会社分類監督管理規定」によると、情報技術管理は6大評価指標の一つであり、証券会社の総合的なランキングに影響を与える。また、分類監督管理規定では、証券会社が改正を命じられ、内部コンプライアンス検査の回数を増やすよう命じられた場合、毎回1点減点することが明らかになっています。
証券監督管理委員会によりますと、次の段階では、機構部は各証券監督管理局と「貫通式監督管理、全チェーン問責」の原則に基づき、証券基金経営機構のコンプライアンス内製御と情報技術管理に対する監督検査を引き続き強化し、問題のある機構と責任のある人員に対して「ダブルペナルティ」を実施し、分類評価の中で厳格に処理するということです。同時に、業界がデジタル転換の背景の下で業務と技術の深い融合過程で現れた新しい状況、新しい問題を密接に追跡し、研究し、関連する監督管理要求を持続的に完備している。
関連記事
証券監督管理委員会は再び監督管理通告を出し、2つの証券会社APP開発管理のショートボードを指し、3つの基金公式サイトがウイルスに感染したことがあり、5つの監督管理要求を再確認した。
