6月9日,中國證券業協會(以下簡稱“中證協”)發布了證券公司網絡和信息安全三年提升計劃(2023-2025)》(以下簡稱《安全提升計劃》),推動證券公司加強網絡與信息系統安全穩定運行保障體系和能力建設,提高資本市場網絡和信息安全水平,防范化解網絡與信息系統安全風險。
《安全提升計劃》明確未來三年全面提升證券公司網絡和信息安全的指導思想、基本原則、總體目標、主要任務及實施路徑。圍繞國家關于網絡和信息安全的具體要求,聚焦提升行業科技治理和信息系統架構掌控能力,聚焦防范網絡和信息安全風險,明確六類31項主要任務要求,形成32項具體任務清單。
明確四大原則 強化合規風控
(資料圖片)
《安全提升計劃》全面落實網絡強國、數字中國戰略,堅持穩中求進,立足新發展階段,貫徹新發展理念,統籌發展和安全,有機結合國家金融安全與行業數字化發展,探索安全可靠的數字化新技術、新模式,推進行業網絡和信息安全防護能力持續提升,牢牢守住不發生系統性金融風險的底線。
《安全提升計劃》明確了應當遵循的基本原則,一是穩健性原則,強化合規風控,嚴守風險底線;二是系統性原則,強化協同機制,整體規劃;三是差異性原則,強化專業引領,因司制宜;四是創新性原則,強化創新驅動,科技賦能。
中證協表示,未來三年全面提升證券公司網絡和信息安全的總體目標是通過組織引導證券公司積極落實各項行動舉措,促進證券行業網絡和信息安全建設取得扎實成效:行業從業人員網絡和信息安全意識明顯增強,科技治理能力有效提升,信息系統架構掌控能力全面加強,科技資金投入和人才培養力度持續加大,網絡和信息安全防護體系基本健全,行業科技創新和數字化轉型邁上新的臺階,為行業高質量發展提供有力支撐,全力支持資本市場改革發展,牢牢守住不發生系統性網絡和信息安全風險的底線。
31項主要任務提升券業科技治理水平
《安全提升計劃》明確了六大類31項主要任務。
其中,持續提升科技治理水平的任務共5項,包括完善信息科技戰略發展規劃、發揮科技治理組織作用、推動信息科技管理體系建設、健全信息科技風險管理三道防線、完善供應商管理機制等方面。
建立科學合理的科技投入機制的任務共2項,包括加大科技資金投入、加強科技人才隊伍建設等方面。
增強信息系統架構規劃掌控能力的任務共5項,包括建立及完善系統架構管理機制、建設及健全企業級應用架構、持續加強數據架構體系治理、多方位推進技術架構轉型升級、持續提高核心系統自主掌控能力等方面。
強化系統研發測試管理能力的任務共4項,包括建立及完善需求設計及分析機制、提升代碼開發效率及安全、制定并落實信息系統代碼審計規范、加強信息系統測試質量管控等方面。
夯實系統運行保障能力的任務共7項,包括加強信息系統上下線管理、管控信息系統變更風險、提升信息系統故障發現能力、提高事件預警及處置效率、健全組織級應急響應管理機制、做好信息系統容量與性能管理、完善重要信息系統數據備份能力等方面。
健全信息安全防護體系的任務共8項,包括落實等級保護定級和測評要求、深化漏洞全生命周期管控、提升安全攻擊防控能力、加強網絡安全態勢感知和通報預警、完善移動客戶端應用軟件認證機制、加強數據安全管理體系建設、持續加強安全意識培訓、做好安全全局性建設等方面。
中證協表示,為推動《安全提升計劃》貫徹落實,中證協將加強對證券行業網絡和信息安全提升工作的督導,通過推動各公司加強組織領導、重視人才培養、完善評估激勵、強化制度供給、做好安全服務、加強培訓交流和總結推廣示范實踐等方式,引導行業對標提升,構建良好的證券科技生態。
