券商中国记者获悉,中国证券业协会(下称中证协)组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》(下称《安全提升计划》),并于1月6日开始向券商征求意见。据悉,《安全提升计划》乃指导2023年至2025年券商提升网络与信息安全工作的行动指南,券商可参照实施,并制定配套实施计划。
值得关注的是,《安全提升计划》提出建立科学合理的科技投入机制,要求行业合理加大科技资金投入。鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。
此外,中证协将为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据。
(资料图)
证券公司网络和信息安全三年提升计划将启动
《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)起草说明中提到,2022年上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺,已经成为长期制约行业信息系统安全的主要问题。
针对上述情况,《安全提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
具体来看,《安全提升计划》所明确的六大任务包括:
一是科技治理能力主要包括完善科技战略发展规划,健全科技治理架构,推动信息科技管理体系建设,增强合规风控内部审查,完善供应商管理机制等五方面具体要求。
二是科技投入机制主要包括加大科技资金投入,加强科技人才队伍建设等两方面具体要求。
三是信息系统架构规划设计主要包括建立及完善系统架构管理机制,建立及健全企业级应用架构,加强数据架构体系治理,推进技术架构转型升级,提高核心系统自主掌控能力等五方面具体要求。
四是系统研发测试管理能力主要包括建立及完善需求设计及分析机制,提升代码开发效率及安全,制定并落实信息系统代码审计规范,加强信息系统测试质量管控,提升第三方合作业务风险管控能力等五方面具体要求。
五是系统运行保障能力主要包括加强信息系统上下线管理,管控信息系统变更风险,提升信息系统故障发现能力,提高事件预警及处置效率,健全组织级应急响应管理机制,做好信息系统容量与性能管理,完善重要信息系统备份能力等七方面具体要求。
六是网络和信息安全防护体系主要包括深化漏洞全生命周期管控,提升安全攻击防控能力,加强网络安全态势感知和通报预警,加强数据安全管理体系建设,持续加强安全意识培训,做好安全全局性建设等八方面具体要求。
据悉,《安全提升计划》的目标是力争到2025年,通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效。
具体包括:行业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。
中证协要求,各券商要加强组织领导,同时设置领导小组,指定一名领导班子成员负责领导小组的具体工作实施,建立健全网络和信息安全提升工作机制,通过制定具体的提升计划和路线图,明确任务分工,落实工作责任,保障人力和资金资源投入,以保证贯彻落实网络和信息安全提升工作目标要求。
在保障措施方面,《安全提升计划》要求行业从组织领导、人才培养、评估激励、技术规范、公共服务建设、宣传引导等六个方面建立保障机制,促使各公司深刻认识网络和信息安全提升工作的重要意义,加强组织领导,确保工作有效落地。
此外,中证协还将建立券商网络和信息安全提升的信息统计机制,推动相关配套激励政策落实,为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据。
来看33项任务清单重点
据悉,作为未来三年指导券商提升网络与信息安全工作的行动指南,《安全提升计划》遵循了稳健性、系统性、差异性、创新性等基本原则,综合考虑不同年度、不同类型公司、不同基础明确了含33项重点工作内的网络和信息安全提升重点任务清单,便于各券商更清晰明了参照执行。
这33项重点任务清单有哪些值得关注?
1、持续提升科技治理水平
券商需在2023年底前根据公司的整体战略规划,制定全方位的网络和信息科技战略发展规划,明确实施策略和具体路径。并且结合行业监管与公司业务的发展,每年进行动态修订和持续完善。
证券公司加强对信息科技服务机构的治理和管理,完善供应商管理机制。每年定期开展供应商评估工作。
2、建立科学合理的科技投入机制
合理加大科技资金投入。鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。持续优化信息科技投入结构,加强研发类、网络和信息安全类以及信创建设等方面的投入,深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设,其中网络和信息安全投入不低于信息科技投入总额的7%。
加强科技人才队伍建设,鼓励进一步合理增加科技人员投入,配备充足的信息科技和网络安全等专业人才,信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
3、增强信息系统架构规划掌控能力
在2023年底前设立专业的信息系统架构管控岗位、团队或联合组织,对公司的信息系统和架构资产进行规划设计及统一管理。
加强核心系统的技术攻关。鼓励有条件的公司积极推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型,具备高可用、高性能、低延时、易扩展及松耦合等特性。
鼓励有条件的公司加快信息系统上云,通过云计算平台承载及运行的信息系统比例不低于60%,由容器等云平台承载的云原生系统比例不低于10%。
4、强化系统研发测试管理能力
证券公司在2023年底前制定及完善涵盖自研系统和外购类系统的代码审计规范。自研系统的代码审计,应实现全部代码审计100%覆盖。
证券公司组建与系统规模相匹配的测试人员或团队,设置合理的开发与测试人员,测试人员不低于研发测试人数的20%。证券公司在2023年底前建立与持续完善软件质量管理制度以及测试指引。重要信息系统新上线或较大变更上线前,应全面完成测试验收。
证券公司在2023年底前建立及完善第三方合作的合规管控机制,持续对第三方系统开展全方位的安全检测监控。
5、夯实系统运行保障能力
持续提升信息系统故障发现能力。证券公司在2023年底前建立全面覆盖业务、应用、底层基础架构和基础设施的信息系统运行监测体系,并持续完善,不断提升运行监控的覆盖度。应建设统一的告警平台。
在2023年底前制定信息系统备份管理策略,建立数据防丢、防删的权限管控机制和技术手段,提升重要信息系统的备份管控能力建设。
6、健全网络和信息安全防护体系
在2023年底前建立完善的漏洞管理制度,明确分级分类标准、职责分工与处置要求,漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。
证券公司充分了解移动客户端应用软件(以下简称App)安全检测认证的重要性,参照行业App安全标准要求开发运营App,委托中证信息技术服务有限责任公司等第三方机构开展App安全认证,及时发现App中存在的安全隐患,确保证券公司自营App在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准,切实保护投资者个人信息安全。
关键词:
信息系统
证券公司
信息安全