來源：券商中國

券商中國記者獲悉，中國證券業協會（下稱中證協）組織起草了《證券公司網絡和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），並於1月6日開始向券商徵求意見。據悉，《安全提升計劃》乃指導2023年至2025年券商提升網絡與信息安全工作的行動指南，券商可參照實施，並制定配套實施計劃。

值得關注的是，《安全提升計劃》提出建立科學合理的科技投入機制，要求行業合理加大科技資金投入。鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少於上述三個年度平均淨利潤的8%或平均營業收入的6%。

此外，中證協將爲網絡和信息安全情況納入券商信息科技分類監管評級提供公允的參考依據。

證券公司網絡和信息安全三年提升計劃將啓動

《證券公司網絡和信息安全三年提升計劃（2023-2025）》（徵求意見稿）起草說明中提到，2022年上半年，證券行業網絡安全事件發生較爲頻繁，對資本市場的安全平穩運行造成較大沖擊。行業整體信息技術投入不足、信息系統架構落後、信息技術管理能力欠缺，已經成爲長期制約行業信息系統安全的主要問題。

針對上述情況，《安全提升計劃》聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題，從科技治理能力、科技投入機制、信息系統架構規劃設計、研發測試效能與質量、系統運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。

具體來看，《安全提升計劃》所明確的六大任務包括：

一是科技治理能力主要包括完善科技戰略發展規劃，健全科技治理架構，推動信息科技管理體系建設，增強合規風控內部審查，完善供應商管理機制等五方面具體要求。

二是科技投入機制主要包括加大科技資金投入，加強科技人才隊伍建設等兩方面具體要求。

三是信息系統架構規劃設計主要包括建立及完善系統架構管理機制，建立及健全企業級應用架構，加強數據架構體系治理，推進技術架構轉型升級，提高核心系統自主掌控能力等五方面具體要求。

四是系統研發測試管理能力主要包括建立及完善需求設計及分析機制，提升代碼開發效率及安全，制定並落實信息系統代碼審計規範，加強信息系統測試質量管控，提升第三方合作業務風險管控能力等五方面具體要求。

五是系統運行保障能力主要包括加強信息系統上下線管理，管控信息系統變更風險，提升信息系統故障發現能力，提高事件預警及處置效率，健全組織級應急響應管理機制，做好信息系統容量與性能管理，完善重要信息系統備份能力等七方面具體要求。

六是網絡和信息安全防護體系主要包括深化漏洞全生命週期管控，提升安全攻擊防控能力，加強網絡安全態勢感知和通報預警，加強數據安全管理體系建設，持續加強安全意識培訓，做好安全全局性建設等八方面具體要求。

據悉，《安全提升計劃》的目標是力爭到2025年，通過組織引導證券公司積極落實各項行動舉措，促進證券行業網絡和信息安全建設取得紮實成效。

具體包括：行業人員網絡和信息安全意識明顯增強，科技治理能力有效提升，信息系統架構掌控能力全面加強，科技資金投入和人才培養力度持續加大，網絡和信息安全防護體系基本健全，行業科技創新和數字化轉型邁上新的臺階，爲行業高質量發展提供有力支撐，全力支持資本市場改革發展，牢牢守住不發生系統性網絡和信息安全風險的底線。

中證協要求，各券商要加強組織領導，同時設置領導小組，指定一名領導班子成員負責領導小組的具體工作實施，建立健全網絡和信息安全提升工作機制，通過制定具體的提升計劃和路線圖，明確任務分工，落實工作責任，保障人力和資金資源投入，以保證貫徹落實網絡和信息安全提升工作目標要求。

在保障措施方面，《安全提升計劃》要求行業從組織領導、人才培養、評估激勵、技術規範、公共服務建設、宣傳引導等六個方面建立保障機制，促使各公司深刻認識網絡和信息安全提升工作的重要意義，加強組織領導，確保工作有效落地。

此外，中證協還將建立券商網絡和信息安全提升的信息統計機制，推動相關配套激勵政策落實，爲網絡和信息安全情況納入券商信息科技分類監管評級提供公允的參考依據。

來看33項任務清單重點

據悉，作爲未來三年指導券商提升網絡與信息安全工作的行動指南，《安全提升計劃》遵循了穩健性、系統性、差異性、創新性等基本原則，綜合考慮不同年度、不同類型公司、不同基礎明確了含33項重點工作內的網絡和信息安全提升重點任務清單，便於各券商更清晰明瞭參照執行。

這33項重點任務清單有哪些值得關注？

1、持續提升科技治理水平

券商需在2023年底前根據公司的整體戰略規劃，制定全方位的網絡和信息科技戰略發展規劃，明確實施策略和具體路徑。並且結合行業監管與公司業務的發展，每年進行動態修訂和持續完善。

證券公司加強對信息科技服務機構的治理和管理，完善供應商管理機制。每年定期開展供應商評估工作。

2、建立科學合理的科技投入機制

合理加大科技資金投入。鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少於上述三個年度平均淨利潤的8%或平均營業收入的6%。持續優化信息科技投入結構，加強研發類、網絡和信息安全類以及信創建設等方面的投入，深化信息技術架構設計、系統測試、安全防護、數字化轉型能力建設，其中網絡和信息安全投入不低於信息科技投入總額的7%。

加強科技人才隊伍建設，鼓勵進一步合理增加科技人員投入，配備充足的信息科技和網絡安全等專業人才，信息科技專業人員不低於公司員工總數的6%，網絡和信息安全專業人員不低於信息科技專業人員的3%且不應少於4人。

3、增強信息系統架構規劃掌控能力

在2023年底前設立專業的信息系統架構管控崗位、團隊或聯合組織，對公司的信息系統和架構資產進行規劃設計及統一管理。

加強核心系統的技術攻關。鼓勵有條件的公司積極推進新一代核心系統的建設，開展核心系統技術架構的轉型升級工作。積極從集中式專有技術架構向分佈式、低時延、開放技術架構轉型，具備高可用、高性能、低延時、易擴展及松耦合等特性。

鼓勵有條件的公司加快信息系統上雲，通過雲計算平臺承載及運行的信息系統比例不低於60%，由容器等雲平臺承載的雲原生系統比例不低於10%。

4、強化系統研發測試管理能力

證券公司在2023年底前制定及完善涵蓋自研系統和外購類系統的代碼審計規範。自研系統的代碼審計，應實現全部代碼審計100%覆蓋。

證券公司組建與系統規模相匹配的測試人員或團隊，設置合理的開發與測試人員，測試人員不低於研發測試人數的20%。證券公司在2023年底前建立與持續完善軟件質量管理制度以及測試指引。重要信息系統新上線或較大變更上線前，應全面完成測試驗收。

證券公司在2023年底前建立及完善第三方合作的合規管控機制，持續對第三方系統開展全方位的安全檢測監控。

5、夯實系統運行保障能力

持續提升信息系統故障發現能力。證券公司在2023年底前建立全面覆蓋業務、應用、底層基礎架構和基礎設施的信息系統運行監測體系，並持續完善，不斷提升運行監控的覆蓋度。應建設統一的告警平臺。

在2023年底前制定信息系統備份管理策略，建立數據防丟、防刪的權限管控機制和技術手段，提升重要信息系統的備份管控能力建設。

6、健全網絡和信息安全防護體系

在2023年底前建立完善的漏洞管理制度，明確分級分類標準、職責分工與處置要求，漏洞管理覆蓋研發過程管理、供應鏈管理和常態化風險巡檢等方面。

證券公司充分了解移動客戶端應用軟件（以下簡稱App）安全檢測認證的重要性，參照行業App安全標準要求開發運營App，委託中證信息技術服務有限責任公司等第三方機構開展App安全認證，及時發現App中存在的安全隱患，確保證券公司自營App在程序開發、個人信息處理、數據安全、密碼應用、安全管理等方面符合國家及行業信息安全標準，切實保護投資者個人信息安全。