券商中國記者獲悉，中國證券業(yè)協(xié)會（下稱中證協(xié)）組織起草了《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），并于1月6日開始向券商征求意見。據(jù)悉，《安全提升計劃》乃指導(dǎo)2023年至2025年券商提升網(wǎng)絡(luò)與信息安全工作的行動指南，券商可參照實施，并制定配套實施計劃。

值得關(guān)注的是，《安全提升計劃》提出建立科學(xué)合理的科技投入機制，要求行業(yè)合理加大科技資金投入。鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。

此外，中證協(xié)將為網(wǎng)絡(luò)和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。

(相關(guān)資料圖)

證券公司網(wǎng)絡(luò)和信息安全三年提升計劃將啟動

《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）》（征求意見稿）起草說明中提到，2022年上半年，證券行業(yè)網(wǎng)絡(luò)安全事件發(fā)生較為頻繁，對資本市場的安全平穩(wěn)運行造成較大沖擊。行業(yè)整體信息技術(shù)投入不足、信息系統(tǒng)架構(gòu)落后、信息技術(shù)管理能力欠缺，已經(jīng)成為長期制約行業(yè)信息系統(tǒng)安全的主要問題。

針對上述情況，《安全提升計劃》聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題，從科技治理能力、科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力和網(wǎng)絡(luò)信息安全防護體系等六個方面明確提出提升方向和要求。

具體來看，《安全提升計劃》所明確的六大任務(wù)包括：

一是科技治理能力主要包括完善科技戰(zhàn)略發(fā)展規(guī)劃，健全科技治理架構(gòu)，推動信息科技管理體系建設(shè)，增強合規(guī)風(fēng)控內(nèi)部審查，完善供應(yīng)商管理機制等五方面具體要求。

二是科技投入機制主要包括加大科技資金投入，加強科技人才隊伍建設(shè)等兩方面具體要求。

三是信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計主要包括建立及完善系統(tǒng)架構(gòu)管理機制，建立及健全企業(yè)級應(yīng)用架構(gòu)，加強數(shù)據(jù)架構(gòu)體系治理，推進技術(shù)架構(gòu)轉(zhuǎn)型升級，提高核心系統(tǒng)自主掌控能力等五方面具體要求。

四是系統(tǒng)研發(fā)測試管理能力主要包括建立及完善需求設(shè)計及分析機制，提升代碼開發(fā)效率及安全，制定并落實信息系統(tǒng)代碼審計規(guī)范，加強信息系統(tǒng)測試質(zhì)量管控，提升第三方合作業(yè)務(wù)風(fēng)險管控能力等五方面具體要求。

五是系統(tǒng)運行保障能力主要包括加強信息系統(tǒng)上下線管理，管控信息系統(tǒng)變更風(fēng)險，提升信息系統(tǒng)故障發(fā)現(xiàn)能力，提高事件預(yù)警及處置效率，健全組織級應(yīng)急響應(yīng)管理機制，做好信息系統(tǒng)容量與性能管理，完善重要信息系統(tǒng)備份能力等七方面具體要求。

六是網(wǎng)絡(luò)和信息安全防護體系主要包括深化漏洞全生命周期管控，提升安全攻擊防控能力，加強網(wǎng)絡(luò)安全態(tài)勢感知和通報預(yù)警，加強數(shù)據(jù)安全管理體系建設(shè)，持續(xù)加強安全意識培訓(xùn)，做好安全全局性建設(shè)等八方面具體要求。

據(jù)悉，《安全提升計劃》的目標(biāo)是力爭到2025年，通過組織引導(dǎo)證券公司積極落實各項行動舉措，促進證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效。

具體包括：行業(yè)人員網(wǎng)絡(luò)和信息安全意識明顯增強，科技治理能力有效提升，信息系統(tǒng)架構(gòu)掌控能力全面加強，科技資金投入和人才培養(yǎng)力度持續(xù)加大，網(wǎng)絡(luò)和信息安全防護體系基本健全，行業(yè)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型邁上新的臺階，為行業(yè)高質(zhì)量發(fā)展提供有力支撐，全力支持資本市場改革發(fā)展，牢牢守住不發(fā)生系統(tǒng)性網(wǎng)絡(luò)和信息安全風(fēng)險的底線。

中證協(xié)要求，各券商要加強組織領(lǐng)導(dǎo)，同時設(shè)置領(lǐng)導(dǎo)小組，指定一名領(lǐng)導(dǎo)班子成員負(fù)責(zé)領(lǐng)導(dǎo)小組的具體工作實施，建立健全網(wǎng)絡(luò)和信息安全提升工作機制，通過制定具體的提升計劃和路線圖，明確任務(wù)分工，落實工作責(zé)任，保障人力和資金資源投入，以保證貫徹落實網(wǎng)絡(luò)和信息安全提升工作目標(biāo)要求。

在保障措施方面，《安全提升計劃》要求行業(yè)從組織領(lǐng)導(dǎo)、人才培養(yǎng)、評估激勵、技術(shù)規(guī)范、公共服務(wù)建設(shè)、宣傳引導(dǎo)等六個方面建立保障機制，促使各公司深刻認(rèn)識網(wǎng)絡(luò)和信息安全提升工作的重要意義，加強組織領(lǐng)導(dǎo)，確保工作有效落地。

此外，中證協(xié)還將建立券商網(wǎng)絡(luò)和信息安全提升的信息統(tǒng)計機制，推動相關(guān)配套激勵政策落實，為網(wǎng)絡(luò)和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。

來看33項任務(wù)清單重點

據(jù)悉，作為未來三年指導(dǎo)券商提升網(wǎng)絡(luò)與信息安全工作的行動指南，《安全提升計劃》遵循了穩(wěn)健性、系統(tǒng)性、差異性、創(chuàng)新性等基本原則，綜合考慮不同年度、不同類型公司、不同基礎(chǔ)明確了含33項重點工作內(nèi)的網(wǎng)絡(luò)和信息安全提升重點任務(wù)清單，便于各券商更清晰明了參照執(zhí)行。

這33項重點任務(wù)清單有哪些值得關(guān)注？

1、持續(xù)提升科技治理水平

券商需在2023年底前根據(jù)公司的整體戰(zhàn)略規(guī)劃，制定全方位的網(wǎng)絡(luò)和信息科技戰(zhàn)略發(fā)展規(guī)劃，明確實施策略和具體路徑。并且結(jié)合行業(yè)監(jiān)管與公司業(yè)務(wù)的發(fā)展，每年進行動態(tài)修訂和持續(xù)完善。

證券公司加強對信息科技服務(wù)機構(gòu)的治理和管理，完善供應(yīng)商管理機制。每年定期開展供應(yīng)商評估工作。

2、建立科學(xué)合理的科技投入機制

合理加大科技資金投入。鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。持續(xù)優(yōu)化信息科技投入結(jié)構(gòu)，加強研發(fā)類、網(wǎng)絡(luò)和信息安全類以及信創(chuàng)建設(shè)等方面的投入，深化信息技術(shù)架構(gòu)設(shè)計、系統(tǒng)測試、安全防護、數(shù)字化轉(zhuǎn)型能力建設(shè)，其中網(wǎng)絡(luò)和信息安全投入不低于信息科技投入總額的7%。

加強科技人才隊伍建設(shè)，鼓勵進一步合理增加科技人員投入，配備充足的信息科技和網(wǎng)絡(luò)安全等專業(yè)人才，信息科技專業(yè)人員不低于公司員工總數(shù)的6%，網(wǎng)絡(luò)和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應(yīng)少于4人。

3、增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力

在2023年底前設(shè)立專業(yè)的信息系統(tǒng)架構(gòu)管控崗位、團隊或聯(lián)合組織，對公司的信息系統(tǒng)和架構(gòu)資產(chǎn)進行規(guī)劃設(shè)計及統(tǒng)一管理。

加強核心系統(tǒng)的技術(shù)攻關(guān)。鼓勵有條件的公司積極推進新一代核心系統(tǒng)的建設(shè)，開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作。積極從集中式專有技術(shù)架構(gòu)向分布式、低時延、開放技術(shù)架構(gòu)轉(zhuǎn)型，具備高可用、高性能、低延時、易擴展及松耦合等特性。

鼓勵有條件的公司加快信息系統(tǒng)上云，通過云計算平臺承載及運行的信息系統(tǒng)比例不低于60%，由容器等云平臺承載的云原生系統(tǒng)比例不低于10%。

4、強化系統(tǒng)研發(fā)測試管理能力

證券公司在2023年底前制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計規(guī)范。自研系統(tǒng)的代碼審計，應(yīng)實現(xiàn)全部代碼審計100%覆蓋。

證券公司組建與系統(tǒng)規(guī)模相匹配的測試人員或團隊，設(shè)置合理的開發(fā)與測試人員，測試人員不低于研發(fā)測試人數(shù)的20%。證券公司在2023年底前建立與持續(xù)完善軟件質(zhì)量管理制度以及測試指引。重要信息系統(tǒng)新上線或較大變更上線前，應(yīng)全面完成測試驗收。

證券公司在2023年底前建立及完善第三方合作的合規(guī)管控機制，持續(xù)對第三方系統(tǒng)開展全方位的安全檢測監(jiān)控。

5、夯實系統(tǒng)運行保障能力

持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力。證券公司在2023年底前建立全面覆蓋業(yè)務(wù)、應(yīng)用、底層基礎(chǔ)架構(gòu)和基礎(chǔ)設(shè)施的信息系統(tǒng)運行監(jiān)測體系，并持續(xù)完善，不斷提升運行監(jiān)控的覆蓋度。應(yīng)建設(shè)統(tǒng)一的告警平臺。

在2023年底前制定信息系統(tǒng)備份管理策略，建立數(shù)據(jù)防丟、防刪的權(quán)限管控機制和技術(shù)手段，提升重要信息系統(tǒng)的備份管控能力建設(shè)。

6、健全網(wǎng)絡(luò)和信息安全防護體系

在2023年底前建立完善的漏洞管理制度，明確分級分類標(biāo)準(zhǔn)、職責(zé)分工與處置要求，漏洞管理覆蓋研發(fā)過程管理、供應(yīng)鏈管理和常態(tài)化風(fēng)險巡檢等方面。

證券公司充分了解移動客戶端應(yīng)用軟件（以下簡稱App）安全檢測認(rèn)證的重要性，參照行業(yè)App安全標(biāo)準(zhǔn)要求開發(fā)運營App，委托中證信息技術(shù)服務(wù)有限責(zé)任公司等第三方機構(gòu)開展App安全認(rèn)證，及時發(fā)現(xiàn)App中存在的安全隱患，確保證券公司自營App在程序開發(fā)、個人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國家及行業(yè)信息安全標(biāo)準(zhǔn)，切實保護投資者個人信息安全。