券商中國記者獲悉，中國證券業(yè)協(xié)會(下稱中證協(xié))組織起草了《證券公司網絡和信息安全三年提升計劃(2023-2025)》(下稱《安全提升計劃》)，并于1月6日開始向券商征求意見。據悉，《安全提升計劃》乃指導2023年至2025年券商提升網絡與信息安全工作的行動指南，券商可參照實施，并制定配套實施計劃。

值得關注的是，《安全提升計劃》提出建立科學合理的科技投入機制，要求行業(yè)合理加大科技資金投入。鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。

此外，中證協(xié)將為網絡和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據。

【資料圖】

證券公司網絡和信息安全三年提升計劃將啟動

《證券公司網絡和信息安全三年提升計劃(2023-2025)》(征求意見稿)起草說明中提到，2022年上半年，證券行業(yè)網絡安全事件發(fā)生較為頻繁，對資本市場的安全平穩(wěn)運行造成較大沖擊。行業(yè)整體信息技術投入不足、信息系統(tǒng)架構落后、信息技術管理能力欠缺，已經成為長期制約行業(yè)信息系統(tǒng)安全的主要問題。

針對上述情況，《安全提升計劃》聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題，從科技治理能力、科技投入機制、信息系統(tǒng)架構規(guī)劃設計、研發(fā)測試效能與質量、系統(tǒng)運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。

具體來看，《安全提升計劃》所明確的六大任務包括：

一是科技治理能力主要包括完善科技戰(zhàn)略發(fā)展規(guī)劃，健全科技治理架構，推動信息科技管理體系建設，增強合規(guī)風控內部審查，完善供應商管理機制等五方面具體要求。

二是科技投入機制主要包括加大科技資金投入，加強科技人才隊伍建設等兩方面具體要求。

三是信息系統(tǒng)架構規(guī)劃設計主要包括建立及完善系統(tǒng)架構管理機制，建立及健全企業(yè)級應用架構，加強數據架構體系治理，推進技術架構轉型升級，提高核心系統(tǒng)自主掌控能力等五方面具體要求。

四是系統(tǒng)研發(fā)測試管理能力主要包括建立及完善需求設計及分析機制，提升代碼開發(fā)效率及安全，制定并落實信息系統(tǒng)代碼審計規(guī)范，加強信息系統(tǒng)測試質量管控，提升第三方合作業(yè)務風險管控能力等五方面具體要求。

五是系統(tǒng)運行保障能力主要包括加強信息系統(tǒng)上下線管理，管控信息系統(tǒng)變更風險，提升信息系統(tǒng)故障發(fā)現(xiàn)能力，提高事件預警及處置效率，健全組織級應急響應管理機制，做好信息系統(tǒng)容量與性能管理，完善重要信息系統(tǒng)備份能力等七方面具體要求。

六是網絡和信息安全防護體系主要包括深化漏洞全生命周期管控，提升安全攻擊防控能力，加強網絡安全態(tài)勢感知和通報預警，加強數據安全管理體系建設，持續(xù)加強安全意識培訓，做好安全全局性建設等八方面具體要求。

據悉，《安全提升計劃》的目標是力爭到2025年，通過組織引導證券公司積極落實各項行動舉措，促進證券行業(yè)網絡和信息安全建設取得扎實成效。

具體包括：行業(yè)人員網絡和信息安全意識明顯增強，科技治理能力有效提升，信息系統(tǒng)架構掌控能力全面加強，科技資金投入和人才培養(yǎng)力度持續(xù)加大，網絡和信息安全防護體系基本健全，行業(yè)科技創(chuàng)新和數字化轉型邁上新的臺階，為行業(yè)高質量發(fā)展提供有力支撐，全力支持資本市場改革發(fā)展，牢牢守住不發(fā)生系統(tǒng)性網絡和信息安全風險的底線。

中證協(xié)要求，各券商要加強組織領導，同時設置領導小組，指定一名領導班子成員負責領導小組的具體工作實施，建立健全網絡和信息安全提升工作機制，通過制定具體的提升計劃和路線圖，明確任務分工，落實工作責任，保障人力和資金資源投入，以保證貫徹落實網絡和信息安全提升工作目標要求。

在保障措施方面，《安全提升計劃》要求行業(yè)從組織領導、人才培養(yǎng)、評估激勵、技術規(guī)范、公共服務建設、宣傳引導等六個方面建立保障機制，促使各公司深刻認識網絡和信息安全提升工作的重要意義，加強組織領導，確保工作有效落地。

此外，中證協(xié)還將建立券商網絡和信息安全提升的信息統(tǒng)計機制，推動相關配套激勵政策落實，為網絡和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據。

來看33項任務清單重點

據悉，作為未來三年指導券商提升網絡與信息安全工作的行動指南，《安全提升計劃》遵循了穩(wěn)健性、系統(tǒng)性、差異性、創(chuàng)新性等基本原則，綜合考慮不同年度、不同類型公司、不同基礎明確了含33項重點工作內的網絡和信息安全提升重點任務清單，便于各券商更清晰明了參照執(zhí)行。

這33項重點任務清單有哪些值得關注？

1、持續(xù)提升科技治理水平

券商需在2023年底前根據公司的整體戰(zhàn)略規(guī)劃，制定全方位的網絡和信息科技戰(zhàn)略發(fā)展規(guī)劃，明確實施策略和具體路徑。并且結合行業(yè)監(jiān)管與公司業(yè)務的發(fā)展，每年進行動態(tài)修訂和持續(xù)完善。

證券公司加強對信息科技服務機構的治理和管理，完善供應商管理機制。每年定期開展供應商評估工作。

2、建立科學合理的科技投入機制

合理加大科技資金投入。鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。持續(xù)優(yōu)化信息科技投入結構，加強研發(fā)類、網絡和信息安全類以及信創(chuàng)建設等方面的投入，深化信息技術架構設計、系統(tǒng)測試、安全防護、數字化轉型能力建設，其中網絡和信息安全投入不低于信息科技投入總額的7%。

加強科技人才隊伍建設，鼓勵進一步合理增加科技人員投入，配備充足的信息科技和網絡安全等專業(yè)人才，信息科技專業(yè)人員不低于公司員工總數的6%，網絡和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應少于4人。

3、增強信息系統(tǒng)架構規(guī)劃掌控能力

在2023年底前設立專業(yè)的信息系統(tǒng)架構管控崗位、團隊或聯(lián)合組織，對公司的信息系統(tǒng)和架構資產進行規(guī)劃設計及統(tǒng)一管理。

加強核心系統(tǒng)的技術攻關。鼓勵有條件的公司積極推進新一代核心系統(tǒng)的建設，開展核心系統(tǒng)技術架構的轉型升級工作。積極從集中式專有技術架構向分布式、低時延、開放技術架構轉型，具備高可用、高性能、低延時、易擴展及松耦合等特性。

鼓勵有條件的公司加快信息系統(tǒng)上云，通過云計算平臺承載及運行的信息系統(tǒng)比例不低于60%，由容器等云平臺承載的云原生系統(tǒng)比例不低于10%。

4、強化系統(tǒng)研發(fā)測試管理能力

證券公司在2023年底前制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計規(guī)范。自研系統(tǒng)的代碼審計，應實現(xiàn)全部代碼審計100%覆蓋。

證券公司組建與系統(tǒng)規(guī)模相匹配的測試人員或團隊，設置合理的開發(fā)與測試人員，測試人員不低于研發(fā)測試人數的20%。證券公司在2023年底前建立與持續(xù)完善軟件質量管理制度以及測試指引。重要信息系統(tǒng)新上線或較大變更上線前，應全面完成測試驗收。

證券公司在2023年底前建立及完善第三方合作的合規(guī)管控機制，持續(xù)對第三方系統(tǒng)開展全方位的安全檢測監(jiān)控。

5、夯實系統(tǒng)運行保障能力

持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在2023年底前建立全面覆蓋業(yè)務、應用、底層基礎架構和基礎設施的信息系統(tǒng)運行監(jiān)測體系，并持續(xù)完善，不斷提升運行監(jiān)控的覆蓋度。應建設統(tǒng)一的告警平臺。

在2023年底前制定信息系統(tǒng)備份管理策略，建立數據防丟、防刪的權限管控機制和技術手段，提升重要信息系統(tǒng)的備份管控能力建設。

6、健全網絡和信息安全防護體系

在2023年底前建立完善的漏洞管理制度，明確分級分類標準、職責分工與處置要求，漏洞管理覆蓋研發(fā)過程管理、供應鏈管理和常態(tài)化風險巡檢等方面。

證券公司充分了解移動客戶端應用軟件(以下簡稱App)安全檢測認證的重要性，參照行業(yè)App安全標準要求開發(fā)運營App，委托中證信息技術服務有限責任公司等第三方機構開展App安全認證，及時發(fā)現(xiàn)App中存在的安全隱患，確保證券公司自營App在程序開發(fā)、個人信息處理、數據安全、密碼應用、安全管理等方面符合國家及行業(yè)信息安全標準，切實保護投資者個人信息安全。

（文章來源：券商中國）

關鍵詞： 網絡信息安全 安全提升計劃