来源:券商中国
证券时报券商中国记者获悉,中国证券业协会(下称中证协)组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》(下称《安全提升计划》),并于1月6日开始向券商征求意见。据悉,《安全提升计划》乃指导2023年至2025年券商提升网络与信息安全工作的行动指南,券商可参照实施,并制定配套实施计划。
值得关注的是,《安全提升计划》提出建立科学合理的科技投入机制,要求行业合理加大科技资金投入。鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。
此外,中证协将为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据。
证券公司网络和信息安全三年提升计划将启动
《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)起草说明中提到,2022年上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺,已经成为长期制约行业信息系统安全的主要问题。
针对上述情况,《安全提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
具体来看,《安全提升计划》所明确的六大任务包括:
一是科技治理能力主要包括完善科技战略发展规划,健全科技治理架构,推动信息科技管理体系建设,增强合规风控内部审查,完善供应商管理机制等五方面具体要求。
二是科技投入机制主要包括加大科技资金投入,加强科技人才队伍建设等两方面具体要求。
三是信息系统架构规划设计主要包括建立及完善系统架构管理机制,建立及健全企业级应用架构,加强数据架构体系治理,推进技术架构转型升级,提高核心系统自主掌控能力等五方面具体要求。
四是系统研发测试管理能力主要包括建立及完善需求设计及分析机制,提升代码开发效率及安全,制定并落实信息系统代码审计规范,加强信息系统测试质量管控,提升第三方合作业务风险管控能力等五方面具体要求。
五是系统运行保障能力主要包括加强信息系统上下线管理,管控信息系统变更风险,提升信息系统故障发现能力,提高事件预警及处置效率,健全组织级应急响应管理机制,做好信息系统容量与性能管理,完善重要信息系统备份能力等七方面具体要求。