券商中國記者獲悉,中國證券業(yè)協(xié)會(huì)(下稱中證協(xié))組織起草了《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)》(下稱《安全提升計(jì)劃》),并于1月6日開始向券商征求意見。據(jù)悉,《安全提升計(jì)劃》乃指導(dǎo)2023年至2025年券商提升網(wǎng)絡(luò)與信息安全工作的行動(dòng)指南,券商可參照實(shí)施,并制定配套實(shí)施計(jì)劃。
值得關(guān)注的是,《安全提升計(jì)劃》提出建立科學(xué)合理的科技投入機(jī)制,要求行業(yè)合理加大科技資金投入。鼓勵(lì)有條件的公司2023-2025三個(gè)年度信息科技平均投入金額不少于上述三個(gè)年度平均凈利潤的8%或平均營業(yè)收入的6%。
此外,中證協(xié)將為網(wǎng)絡(luò)和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。
(相關(guān)資料圖)
證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃將啟動(dòng)
《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)》(征求意見稿)起草說明中提到,2022年上半年,證券行業(yè)網(wǎng)絡(luò)安全事件發(fā)生較為頻繁,對資本市場的安全平穩(wěn)運(yùn)行造成較大沖擊。行業(yè)整體信息技術(shù)投入不足、信息系統(tǒng)架構(gòu)落后、信息技術(shù)管理能力欠缺,已經(jīng)成為長期制約行業(yè)信息系統(tǒng)安全的主要問題。
針對上述情況,《安全提升計(jì)劃》聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題,從科技治理能力、科技投入機(jī)制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計(jì)、研發(fā)測試效能與質(zhì)量、系統(tǒng)運(yùn)行保障能力和網(wǎng)絡(luò)信息安全防護(hù)體系等六個(gè)方面明確提出提升方向和要求。
具體來看,《安全提升計(jì)劃》所明確的六大任務(wù)包括:
一是科技治理能力主要包括完善科技戰(zhàn)略發(fā)展規(guī)劃,健全科技治理架構(gòu),推動(dòng)信息科技管理體系建設(shè),增強(qiáng)合規(guī)風(fēng)控內(nèi)部審查,完善供應(yīng)商管理機(jī)制等五方面具體要求。
二是科技投入機(jī)制主要包括加大科技資金投入,加強(qiáng)科技人才隊(duì)伍建設(shè)等兩方面具體要求。
三是信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計(jì)主要包括建立及完善系統(tǒng)架構(gòu)管理機(jī)制,建立及健全企業(yè)級應(yīng)用架構(gòu),加強(qiáng)數(shù)據(jù)架構(gòu)體系治理,推進(jìn)技術(shù)架構(gòu)轉(zhuǎn)型升級,提高核心系統(tǒng)自主掌控能力等五方面具體要求。
四是系統(tǒng)研發(fā)測試管理能力主要包括建立及完善需求設(shè)計(jì)及分析機(jī)制,提升代碼開發(fā)效率及安全,制定并落實(shí)信息系統(tǒng)代碼審計(jì)規(guī)范,加強(qiáng)信息系統(tǒng)測試質(zhì)量管控,提升第三方合作業(yè)務(wù)風(fēng)險(xiǎn)管控能力等五方面具體要求。
五是系統(tǒng)運(yùn)行保障能力主要包括加強(qiáng)信息系統(tǒng)上下線管理,管控信息系統(tǒng)變更風(fēng)險(xiǎn),提升信息系統(tǒng)故障發(fā)現(xiàn)能力,提高事件預(yù)警及處置效率,健全組織級應(yīng)急響應(yīng)管理機(jī)制,做好信息系統(tǒng)容量與性能管理,完善重要信息系統(tǒng)備份能力等七方面具體要求。
六是網(wǎng)絡(luò)和信息安全防護(hù)體系主要包括深化漏洞全生命周期管控,提升安全攻擊防控能力,加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知和通報(bào)預(yù)警,加強(qiáng)數(shù)據(jù)安全管理體系建設(shè),持續(xù)加強(qiáng)安全意識培訓(xùn),做好安全全局性建設(shè)等八方面具體要求。
據(jù)悉,《安全提升計(jì)劃》的目標(biāo)是力爭到2025年,通過組織引導(dǎo)證券公司積極落實(shí)各項(xiàng)行動(dòng)舉措,促進(jìn)證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效。
具體包括:行業(yè)人員網(wǎng)絡(luò)和信息安全意識明顯增強(qiáng),科技治理能力有效提升,信息系統(tǒng)架構(gòu)掌控能力全面加強(qiáng),科技資金投入和人才培養(yǎng)力度持續(xù)加大,網(wǎng)絡(luò)和信息安全防護(hù)體系基本健全,行業(yè)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型邁上新的臺階,為行業(yè)高質(zhì)量發(fā)展提供有力支撐,全力支持資本市場改革發(fā)展,牢牢守住不發(fā)生系統(tǒng)性網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)的底線。
中證協(xié)要求,各券商要加強(qiáng)組織領(lǐng)導(dǎo),同時(shí)設(shè)置領(lǐng)導(dǎo)小組,指定一名領(lǐng)導(dǎo)班子成員負(fù)責(zé)領(lǐng)導(dǎo)小組的具體工作實(shí)施,建立健全網(wǎng)絡(luò)和信息安全提升工作機(jī)制,通過制定具體的提升計(jì)劃和路線圖,明確任務(wù)分工,落實(shí)工作責(zé)任,保障人力和資金資源投入,以保證貫徹落實(shí)網(wǎng)絡(luò)和信息安全提升工作目標(biāo)要求。
在保障措施方面,《安全提升計(jì)劃》要求行業(yè)從組織領(lǐng)導(dǎo)、人才培養(yǎng)、評估激勵(lì)、技術(shù)規(guī)范、公共服務(wù)建設(shè)、宣傳引導(dǎo)等六個(gè)方面建立保障機(jī)制,促使各公司深刻認(rèn)識網(wǎng)絡(luò)和信息安全提升工作的重要意義,加強(qiáng)組織領(lǐng)導(dǎo),確保工作有效落地。
此外,中證協(xié)還將建立券商網(wǎng)絡(luò)和信息安全提升的信息統(tǒng)計(jì)機(jī)制,推動(dòng)相關(guān)配套激勵(lì)政策落實(shí),為網(wǎng)絡(luò)和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。
來看33項(xiàng)任務(wù)清單重點(diǎn)
據(jù)悉,作為未來三年指導(dǎo)券商提升網(wǎng)絡(luò)與信息安全工作的行動(dòng)指南,《安全提升計(jì)劃》遵循了穩(wěn)健性、系統(tǒng)性、差異性、創(chuàng)新性等基本原則,綜合考慮不同年度、不同類型公司、不同基礎(chǔ)明確了含33項(xiàng)重點(diǎn)工作內(nèi)的網(wǎng)絡(luò)和信息安全提升重點(diǎn)任務(wù)清單,便于各券商更清晰明了參照執(zhí)行。
這33項(xiàng)重點(diǎn)任務(wù)清單有哪些值得關(guān)注?
1、持續(xù)提升科技治理水平
券商需在2023年底前根據(jù)公司的整體戰(zhàn)略規(guī)劃,制定全方位的網(wǎng)絡(luò)和信息科技戰(zhàn)略發(fā)展規(guī)劃,明確實(shí)施策略和具體路徑。并且結(jié)合行業(yè)監(jiān)管與公司業(yè)務(wù)的發(fā)展,每年進(jìn)行動(dòng)態(tài)修訂和持續(xù)完善。
證券公司加強(qiáng)對信息科技服務(wù)機(jī)構(gòu)的治理和管理,完善供應(yīng)商管理機(jī)制。每年定期開展供應(yīng)商評估工作。
2、建立科學(xué)合理的科技投入機(jī)制
合理加大科技資金投入。鼓勵(lì)有條件的公司2023-2025三個(gè)年度信息科技平均投入金額不少于上述三個(gè)年度平均凈利潤的8%或平均營業(yè)收入的6%。持續(xù)優(yōu)化信息科技投入結(jié)構(gòu),加強(qiáng)研發(fā)類、網(wǎng)絡(luò)和信息安全類以及信創(chuàng)建設(shè)等方面的投入,深化信息技術(shù)架構(gòu)設(shè)計(jì)、系統(tǒng)測試、安全防護(hù)、數(shù)字化轉(zhuǎn)型能力建設(shè),其中網(wǎng)絡(luò)和信息安全投入不低于信息科技投入總額的7%。
加強(qiáng)科技人才隊(duì)伍建設(shè),鼓勵(lì)進(jìn)一步合理增加科技人員投入,配備充足的信息科技和網(wǎng)絡(luò)安全等專業(yè)人才,信息科技專業(yè)人員不低于公司員工總數(shù)的6%,網(wǎng)絡(luò)和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應(yīng)少于4人。
3、增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力
在2023年底前設(shè)立專業(yè)的信息系統(tǒng)架構(gòu)管控崗位、團(tuán)隊(duì)或聯(lián)合組織,對公司的信息系統(tǒng)和架構(gòu)資產(chǎn)進(jìn)行規(guī)劃設(shè)計(jì)及統(tǒng)一管理。
加強(qiáng)核心系統(tǒng)的技術(shù)攻關(guān)。鼓勵(lì)有條件的公司積極推進(jìn)新一代核心系統(tǒng)的建設(shè),開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作。積極從集中式專有技術(shù)架構(gòu)向分布式、低時(shí)延、開放技術(shù)架構(gòu)轉(zhuǎn)型,具備高可用、高性能、低延時(shí)、易擴(kuò)展及松耦合等特性。
鼓勵(lì)有條件的公司加快信息系統(tǒng)上云,通過云計(jì)算平臺承載及運(yùn)行的信息系統(tǒng)比例不低于60%,由容器等云平臺承載的云原生系統(tǒng)比例不低于10%。
4、強(qiáng)化系統(tǒng)研發(fā)測試管理能力
證券公司在2023年底前制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計(jì)規(guī)范。自研系統(tǒng)的代碼審計(jì),應(yīng)實(shí)現(xiàn)全部代碼審計(jì)100%覆蓋。
證券公司組建與系統(tǒng)規(guī)模相匹配的測試人員或團(tuán)隊(duì),設(shè)置合理的開發(fā)與測試人員,測試人員不低于研發(fā)測試人數(shù)的20%。證券公司在2023年底前建立與持續(xù)完善軟件質(zhì)量管理制度以及測試指引。重要信息系統(tǒng)新上線或較大變更上線前,應(yīng)全面完成測試驗(yàn)收。
證券公司在2023年底前建立及完善第三方合作的合規(guī)管控機(jī)制,持續(xù)對第三方系統(tǒng)開展全方位的安全檢測監(jiān)控。
5、夯實(shí)系統(tǒng)運(yùn)行保障能力
持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在2023年底前建立全面覆蓋業(yè)務(wù)、應(yīng)用、底層基礎(chǔ)架構(gòu)和基礎(chǔ)設(shè)施的信息系統(tǒng)運(yùn)行監(jiān)測體系,并持續(xù)完善,不斷提升運(yùn)行監(jiān)控的覆蓋度。應(yīng)建設(shè)統(tǒng)一的告警平臺。
在2023年底前制定信息系統(tǒng)備份管理策略,建立數(shù)據(jù)防丟、防刪的權(quán)限管控機(jī)制和技術(shù)手段,提升重要信息系統(tǒng)的備份管控能力建設(shè)。
6、健全網(wǎng)絡(luò)和信息安全防護(hù)體系
在2023年底前建立完善的漏洞管理制度,明確分級分類標(biāo)準(zhǔn)、職責(zé)分工與處置要求,漏洞管理覆蓋研發(fā)過程管理、供應(yīng)鏈管理和常態(tài)化風(fēng)險(xiǎn)巡檢等方面。
證券公司充分了解移動(dòng)客戶端應(yīng)用軟件(以下簡稱App)安全檢測認(rèn)證的重要性,參照行業(yè)App安全標(biāo)準(zhǔn)要求開發(fā)運(yùn)營App,委托中證信息技術(shù)服務(wù)有限責(zé)任公司等第三方機(jī)構(gòu)開展App安全認(rèn)證,及時(shí)發(fā)現(xiàn)App中存在的安全隱患,確保證券公司自營App在程序開發(fā)、個(gè)人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國家及行業(yè)信息安全標(biāo)準(zhǔn),切實(shí)保護(hù)投資者個(gè)人信息安全。