6月9日消息,為推動券商加強網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運行保障體系和能力建設(shè)�,提高資本市場網(wǎng)絡(luò)和信息安全水平,防范化解網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險����,近日,中證協(xié)印發(fā)《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》(以下簡稱《安全提升計劃》)��,明確六類31項主要任務(wù)要求�,形成32項具體任務(wù)清單。
其中,《安全提升計劃》明確指出����,鼓勵有條件的券商2023年至2025年三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的10%或平均營業(yè)收入的7%,較此前征求意見稿中的投入比例進一步抬升����。同時,鼓勵有條件的券商結(jié)合自身實際情況逐步提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%�����,其中信息安全專業(yè)人員比例至信息科技專業(yè)人員總數(shù)的3%并且不少于2人���。
明確六大類31項主要任務(wù)
【資料圖】
形成32項具體任務(wù)清單
《安全提升計劃》圍繞國家關(guān)于網(wǎng)絡(luò)和信息安全的具體要求,聚焦提升行業(yè)科技治理和信息系統(tǒng)架構(gòu)掌控能力��,聚焦防范網(wǎng)絡(luò)和信息安全風(fēng)險�,明確六類31項主要任務(wù)要求,形成32項具體任務(wù)清單��。明確了應(yīng)當(dāng)遵循的基本原則���,一是穩(wěn)健性原則���,強化合規(guī)風(fēng)控��,嚴(yán)守風(fēng)險底線����;二是系統(tǒng)性原則�,強化協(xié)同機制,整體規(guī)劃��;三是差異性原則����,強化專業(yè)引領(lǐng),因司制宜���;四是創(chuàng)新性原則����,強化創(chuàng)新驅(qū)動�����,科技賦能����。
未來三年全面提升券商網(wǎng)絡(luò)和信息安全的總體目標(biāo)是通過組織引導(dǎo)券商積極落實各項行動舉措���,促進證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效:行業(yè)從業(yè)人員網(wǎng)絡(luò)和信息安全意識明顯增強,科技治理能力有效提升����,信息系統(tǒng)架構(gòu)掌控能力全面加強,科技資金投入和人才培養(yǎng)力度持續(xù)加大�,網(wǎng)絡(luò)和信息安全防護體系基本健全,行業(yè)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型邁上新的臺階�,為行業(yè)高質(zhì)量發(fā)展提供有力支撐,全力支持資本市場改革發(fā)展����,牢牢守住不發(fā)生系統(tǒng)性網(wǎng)絡(luò)和信息安全風(fēng)險的底線。
《安全提升計劃》明確了六大類31項主要任務(wù)�����。一是�����,持續(xù)提升科技治理水平的任務(wù)共5項�����;二是�����,建立科學(xué)合理的科技投入機制的任務(wù)共2項����;三是,增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力的任務(wù)共5項���;四是���,強化系統(tǒng)研發(fā)測試管理能力的任務(wù)共4項;五是����,夯實系統(tǒng)運行保障能力的任務(wù)共7項;六是�,健全信息安全防護體系的任務(wù)共8項。
為推動《安全提升計劃》貫徹落實�����,中證協(xié)將加強對證券行業(yè)網(wǎng)絡(luò)和信息安全提升工作的督導(dǎo),通過推動各公司加強組織領(lǐng)導(dǎo)�����、重視人才培養(yǎng)����、完善評估激勵、強化制度供給�����、做好安全服務(wù)�、加強培訓(xùn)交流和總結(jié)推廣示范實踐等方式,引導(dǎo)行業(yè)對標(biāo)提升���,構(gòu)建良好的證券科技生態(tài)���。
保障經(jīng)費投入
夯實系統(tǒng)運行保障能力
近年來,隨著證券行業(yè)資產(chǎn)規(guī)模和營業(yè)收入持續(xù)增長���,以及業(yè)務(wù)創(chuàng)新的提速,證券行業(yè)整體信息技術(shù)投入不足�����、信息系統(tǒng)架構(gòu)落后、信息技術(shù)管理能力欠缺��,已經(jīng)成為長期制約行業(yè)信息系統(tǒng)安全的主要問題�����?!栋踩嵘媱潯分忻鞔_建立科學(xué)合理的科技投入機制的任務(wù)共2項,包括加大科技資金投入���、加強科技人才隊伍建設(shè)等方面����。
2022年11月份����,中國證券業(yè)協(xié)會發(fā)布的《證券公司數(shù)字化轉(zhuǎn)型實踐報告及案例匯編(2022)》顯示,券商在信息技術(shù)方面的投入持續(xù)上升�。2021年,全行業(yè)證券公司信息技術(shù)投入總金額為338.2億元��,同比增長28.7%����。其中�����,頭部券商投入集中度越來越高���,前15家券商的投入占全行業(yè)投入的55.89%。
從上市券商來看�����,2022年���,頭部券商因資本實力雄厚投入相對較大��。其中��,華泰證券(601688)����、中金公司(601995)�、國泰君安(601211)、海通證券(600837)�����、招商證券(600999)����、中信建投(601066)、廣發(fā)證券(000776)�、中國銀河(601881)等8家券商的信息技術(shù)投入均超10億元。其中�����,華泰證券的投入高達27.24億元位列第一���,2018年至2022年期間�,其信息技術(shù)投入金額的GAGR(年復(fù)合增長率)達25.88%���。
不過����,雖然證券行業(yè)信息技術(shù)投入在持續(xù)增加���,但信息安全事件仍時有發(fā)生��,數(shù)字化轉(zhuǎn)型過程中也暴露出階段性問題���,對資本市場的安全平穩(wěn)運行造成較大沖擊��。例如�����,今年某互聯(lián)網(wǎng)券商的交易軟件一日內(nèi)連續(xù)發(fā)生多起“宕機”事件����,被監(jiān)管部門采取責(zé)令改正措施�,該公司在上述網(wǎng)絡(luò)安全事件中,存在信息系統(tǒng)升級論證測試不充分��、未及時報告網(wǎng)絡(luò)安全事件等問題�。
《安全提升計劃》明確夯實系統(tǒng)運行保障能力的任務(wù)共7項,包括加強信息系統(tǒng)上下線管理�����、管控信息系統(tǒng)變更風(fēng)險�、提升信息系統(tǒng)故障發(fā)現(xiàn)能力、提高事件預(yù)警及處置效率、健全組織級應(yīng)急響應(yīng)管理機制����、做好信息系統(tǒng)容量與性能管理、完善重要信息系統(tǒng)數(shù)據(jù)備份能力等方面����;健全信息安全防護體系的任務(wù)共8項����,包括落實等級保護定級和測評要求、深化漏洞全生命周期管控�����、提升安全攻擊防控能力�����、加強網(wǎng)絡(luò)安全態(tài)勢感知和通報預(yù)警�����、完善移動客戶端應(yīng)用軟件認(rèn)證機制��、加強數(shù)據(jù)安全管理體系建設(shè)、持續(xù)加強安全意識培訓(xùn)����、做好安全全局性建設(shè)等方面。
為充分了解券商數(shù)字化轉(zhuǎn)型工作的進展��,進一步深入了解證券期貨行業(yè)在數(shù)字化轉(zhuǎn)型中的數(shù)據(jù)研發(fā)現(xiàn)狀��,5月份��,中證協(xié)對券商開展數(shù)字化轉(zhuǎn)型專項調(diào)研��,調(diào)研內(nèi)容就包括對券商在數(shù)字化人才體系建設(shè)��、信息技術(shù)人力投入����、基礎(chǔ)設(shè)施及運行管理投入、云數(shù)據(jù)中心和信息安全體系投入等方面的情況����,以及在以上方面存在哪些困難和意見建議。
