中國證券業(yè)協(xié)會(下稱中證協(xié))組織起草了《證券公司網(wǎng)絡和信息安全三年提升計劃(2023-2025)》(下稱《安全提升計劃》),并于昨日開始向券商征求意見。
據(jù)悉,《安全提升計劃》是指導2023年至2025年券商提升網(wǎng)絡與信息安全工作的行動指南,券商可參照實施,并制定配套實施計劃。中證協(xié)將為網(wǎng)絡和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。
“2022年上半年,證券行業(yè)網(wǎng)絡安全事件發(fā)生較為頻繁,對資本市場的安全平穩(wěn)運行造成較大沖擊。行業(yè)整體信息技術投入不足、信息系統(tǒng)架構落后、信息技術管理能力欠缺,已經(jīng)成為長期制約行業(yè)信息系統(tǒng)安全的主要問題。”起草說明稱。
《安全提升計劃》提出,券商應建立科學合理的科技投入機制。一是合理加大科技資金投入,鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。二是加強科技人才隊伍建設,鼓勵進一步合理增加科技人員投入,配備充足的信息科技和網(wǎng)絡安全等專業(yè)人才,信息科技專業(yè)人員不低于公司員工總數(shù)的6%,網(wǎng)絡和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應少于4人。
券商要完善移動客戶端應用軟件(下稱APP)認證機制。充分認識APP安全檢測認證的重要性,參照行業(yè)APP安全標準要求開發(fā)運營APP,鼓勵委托第三方機構開展APP安全認證,及時發(fā)現(xiàn)APP中存在的安全隱患,確保證券公司自營APP在程序開發(fā)、個人信息處理、數(shù)據(jù)安全、密碼應用、安全管理等方面符合國家及行業(yè)信息安全標準,切實保護投資者個人信息安全。
《安全提升計劃》鼓勵有條件的券商合作研發(fā)或自主研發(fā)安全可控的關鍵技術、系統(tǒng)或設施。對于外購系統(tǒng),要求廠商提供完整的系統(tǒng)技術資料, 并對券商技術人員開展全面的專業(yè)培訓,確保深入掌握系統(tǒng)的技術架構與關鍵技術環(huán)節(jié)。鼓勵申請企業(yè)專利,加強知識產(chǎn)權保護,提升信息系統(tǒng)的整體安全水平,減少對于信息系統(tǒng)的侵權、仿制、破解等風險。行業(yè)層面,優(yōu)化知識管理,進一步提升行業(yè)知識共享,運用集體智慧,加強核心系統(tǒng)的自主掌控能力。
中證協(xié)要求,各券商要加強組織領導,同時設置領導小組,指定一名領導班子成員負責領導小組的具體工作實施,建立健全網(wǎng)絡和信息安全提升工作機制,通過制定具體的提升計劃和路線圖,明確任務分工,落實工作責任,保障人力和資金資源投入,以保證貫徹落實網(wǎng)絡和信息安全提升工作目標要求。
此外,中證協(xié)還將建立券商網(wǎng)絡和信息安全提升的信息統(tǒng)計機制,推動相關配套激勵政策落實,為網(wǎng)絡和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。
據(jù)了解,《安全提升計劃》主要任務聚焦證券公司網(wǎng)絡和信息安全能力領域普遍存在的基礎性和深層次問題,從科技治理能力、科技投入機制、信息系統(tǒng)架構規(guī)劃設計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力和網(wǎng)絡信息安全防護體系等六個方面明確提出提升方向和要求。