重視網(wǎng)絡(luò)安全��,中證協(xié)向券商提要求:未來(lái)三年IT投入不低于平均凈利潤(rùn)10%或平均營(yíng)業(yè)收入7%
每日經(jīng)濟(jì)新聞
2023-06-09 22:24:08
每經(jīng)記者 王硯丹 每經(jīng)編輯 趙云
近日,中國(guó)證券業(yè)協(xié)會(huì)印發(fā)《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)》����,闡明未來(lái)三年全面提升證券公司網(wǎng)絡(luò)和信息安全的指導(dǎo)思想、基本原則��、總體目標(biāo)、主要任務(wù)及實(shí)施路徑���。
本次計(jì)劃旨在鼓勵(lì)有條件的券商充分利用新技術(shù)積極推進(jìn)新一代核心系統(tǒng)的建設(shè)���,開(kāi)展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級(jí)工作。計(jì)劃的總體目標(biāo)是通過(guò)組織引導(dǎo)券商積極落實(shí)各項(xiàng)行動(dòng)舉措���,促進(jìn)證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效�����。
其中最引人注目的是���,本次計(jì)劃明確提出,券商信息科技平均投入金額不少于2023年至2025年平均凈利潤(rùn)的10%或平均營(yíng)業(yè)收入的7%�����。相較于征求意見(jiàn)稿中要求的三個(gè)年度信息科技平均投入金額則不少于上述三個(gè)年度平均凈利潤(rùn)的8%或平均營(yíng)業(yè)收入的6%���,正式計(jì)劃有較大幅度提升��。
來(lái)看本次安全計(jì)劃的要點(diǎn):
要點(diǎn)一:明確信息系統(tǒng)建設(shè)應(yīng)遵循穩(wěn)健性�、系統(tǒng)性、差異性�、創(chuàng)新性等基本原則
要堅(jiān)持以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想特別是習(xí)近平總書(shū)記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想為指導(dǎo)。遵循穩(wěn)健性�、系統(tǒng)性、差異性��、創(chuàng)新性等基本原則��。深入貫徹黨的二十大精神�,全面落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)戰(zhàn)略���,力爭(zhēng)到2025年�����,證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效,為行業(yè)高質(zhì)量發(fā)展提供有力支撐���,全力支持資本市場(chǎng)改革發(fā)展�,牢牢守住不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)的底線���。
要點(diǎn)二:提出六大主要任務(wù)
本次計(jì)劃明確了券商三年應(yīng)完成的主要任務(wù)�,包括以下六方面:
一是持續(xù)提升科技治理水平。主要包括全面完善信息科技戰(zhàn)略發(fā)展規(guī)劃��,充分發(fā)揮科技治理組織作用�,大力推動(dòng)信息科技管理體系建設(shè),健全信息科技風(fēng)險(xiǎn)管理三道防線�����,持續(xù)完善供應(yīng)商管理機(jī)制等五方面具體要求�����。
二是建立科學(xué)合理的科技投入機(jī)制�����。主要包括合理加大科技資金投入�,加強(qiáng)科技人才隊(duì)伍建設(shè)等兩方面具體要求。提出了信息科技平均投入金額不少于2023年至2025年平均凈利潤(rùn)的10%或平均營(yíng)業(yè)收入的7%��,信息科技專業(yè)人員不低于企業(yè)員工總數(shù)的7%�����,其中信息安全專業(yè)人員比例不低于信息科技專業(yè)人員總數(shù)的3%并且不少于2人。
三是增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力����。主要包括建立及完善系統(tǒng)架構(gòu)管理機(jī)制,建設(shè)及健全企業(yè)級(jí)應(yīng)用架構(gòu)�,持續(xù)加強(qiáng)數(shù)據(jù)架構(gòu)體系治理,多方位推進(jìn)技術(shù)架構(gòu)轉(zhuǎn)型升級(jí)�,持續(xù)提高核心系統(tǒng)自主掌控能力等五方面具體要求。此部分是本次提升計(jì)劃的重點(diǎn)����,鼓勵(lì)有條件的證券公司充分利用新技術(shù)積極推進(jìn)新一代核心系統(tǒng)的建設(shè),開(kāi)展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級(jí)工作�����。
四是強(qiáng)化系統(tǒng)研發(fā)測(cè)試管理能力���。主要包括建立及完善需求設(shè)計(jì)及分析機(jī)制�����,持續(xù)提升代碼開(kāi)發(fā)效率及安全��,制定并落實(shí)信息系統(tǒng)代碼審計(jì)規(guī)范,全面加強(qiáng)信息系統(tǒng)測(cè)試質(zhì)量管控等四方面具體要求。
五是夯實(shí)系統(tǒng)運(yùn)行保障能力��。主要包括加強(qiáng)信息系統(tǒng)上下線管理����,全面管控信息系統(tǒng)變更風(fēng)險(xiǎn),持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力�,全面提高事件預(yù)警及處置效率,健全組織級(jí)應(yīng)急響應(yīng)管理機(jī)制���,做好信息系統(tǒng)容量與性能管理����,完善重要信息系統(tǒng)數(shù)據(jù)備份能力等七方面具體要求����。
六是健全信息安全防護(hù)體系。主要包括落實(shí)等級(jí)保護(hù)定級(jí)和測(cè)評(píng)要求�,深化漏洞全生命周期管控,提升安全攻擊防控能力���,持續(xù)加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和通報(bào)預(yù)警����,完善移動(dòng)客戶端應(yīng)用軟件認(rèn)證機(jī)制,加強(qiáng)數(shù)據(jù)安全管理體系建設(shè)�����,持續(xù)加強(qiáng)安全意識(shí)培訓(xùn)����,做好安全全局性建設(shè)等八方面具體要求。
要點(diǎn)三:形成32項(xiàng)具體任務(wù)清單
本次計(jì)劃明確了券商32項(xiàng)具體任務(wù)清單��,其中2023年底應(yīng)完成的具體任務(wù)主要有以下方面:
證券公司在2023年底前應(yīng)設(shè)立專業(yè)的信息系統(tǒng)架構(gòu)管控角色�、崗位、團(tuán)隊(duì)或聯(lián)合組織��,對(duì)公司的信息系統(tǒng)和架構(gòu)資產(chǎn)進(jìn)行規(guī)劃設(shè)計(jì)及統(tǒng)一管理����。
證券公司在2023年底前制定及完善涵蓋自研系統(tǒng)和外購(gòu)系統(tǒng)的代碼審計(jì)規(guī)范。自研系統(tǒng)實(shí)現(xiàn)自研代碼審計(jì)全覆蓋���。
證券公司在2023年底前應(yīng)建立與持續(xù)完善軟件質(zhì)量管理制度以及測(cè)試指引�����。重要信息系統(tǒng)新上線或較大變更上線前�����,全面完成測(cè)試驗(yàn)收��。
證券公司在2023年底前建立健全自上而下��、協(xié)同聯(lián)動(dòng)�����、高效有力的應(yīng)急管理和輿情管理機(jī)制�����,提高公司應(yīng)急管理和輿情管理水平���,實(shí)現(xiàn)信息運(yùn)行的實(shí)時(shí)輿情監(jiān)測(cè),并根據(jù)應(yīng)急組織架構(gòu)�,壓實(shí)各部門(mén)應(yīng)急處置責(zé)任。
證券公司在2023年底前應(yīng)建立完善的漏洞管理制度��,明確分級(jí)分類(lèi)標(biāo)準(zhǔn)�、職責(zé)分工與處置要求,漏洞管理覆蓋研發(fā)過(guò)程管理�����、供應(yīng)鏈管理和常態(tài)化風(fēng)險(xiǎn)巡檢等方面。
證券公司在2023年底前應(yīng)建立個(gè)人信息保護(hù)制度體系�,明確工作職責(zé),規(guī)范工作流程�����,加強(qiáng)對(duì)本公司及外部合作機(jī)構(gòu)管理���。
近年來(lái)券商不斷加大信息技術(shù)投入但仍因系統(tǒng)故障出現(xiàn)過(guò)與投資者糾紛
近年來(lái)���,證券行業(yè)不斷加大信息技術(shù)投入力度。根據(jù)中國(guó)證券業(yè)協(xié)會(huì)去年11月發(fā)布的《2022證券公司數(shù)字化轉(zhuǎn)型實(shí)踐報(bào)告及案例匯編》�����,證券行業(yè)機(jī)構(gòu)積極推進(jìn)數(shù)字化轉(zhuǎn)型���,開(kāi)展了大量卓有成效的工作�,取得了豐碩的實(shí)踐成效��。2021年證券公司IT人員總數(shù)為30952人�����,同比增長(zhǎng)19.7%,信息技術(shù)投入總金額為338.20億元�����,同比增長(zhǎng)28.7%��。
此外�����,從券商披露的2022年信息技術(shù)投入金額來(lái)看����,2022年證券行業(yè)繼續(xù)加大對(duì)信息技術(shù)投入��。華泰證券2022年信息技術(shù)投入高達(dá)27.24億元�����,中金公司達(dá)到19.06億元���,同比增長(zhǎng)41.6%��;國(guó)泰君安達(dá)17.99億元�����,同比增長(zhǎng)17.2%�。此外,海通證券���、招商證券���、中信建投、廣發(fā)證券����、中國(guó)銀河、安信證券母公司國(guó)投資本等的投入金額均超10億元��。
不過(guò)����,即使加大了對(duì)信息技術(shù)的投入,部分券商仍因交易系統(tǒng)“宕機(jī)”引發(fā)市場(chǎng)與行業(yè)關(guān)注���。
今年3月21日����,東方財(cái)富證券交易軟件在一個(gè)交易日內(nèi)出現(xiàn)“兩連崩”。證監(jiān)會(huì)和西藏證監(jiān)局隨后均對(duì)該事件表示關(guān)注�����。
3月31日晚���,西藏證監(jiān)局對(duì)東方財(cái)富采取責(zé)令改正措施��。西藏證監(jiān)局指出,經(jīng)查���,東方財(cái)富證券在2023年3月21日的網(wǎng)絡(luò)安全事件中�����,存在信息系統(tǒng)升級(jí)論證測(cè)試不充分��、未及時(shí)報(bào)告網(wǎng)絡(luò)安全事件的問(wèn)題�。“依據(jù)相關(guān)規(guī)定����,決定對(duì)東方財(cái)富證券采取責(zé)令改正的監(jiān)督管理措施�����。同時(shí)��,責(zé)令東方財(cái)富證券對(duì)此次事件相關(guān)責(zé)任人員進(jìn)行內(nèi)部責(zé)任追究�����,并妥善處置此次事件引發(fā)的投資者訴求��。”
中證協(xié)前期發(fā)布的《2022年度證券公司投資者服務(wù)與保護(hù)報(bào)告》也指出�����,去年出現(xiàn)了多起因券商交易系統(tǒng)問(wèn)題導(dǎo)致糾紛的案例���。如有投資者反饋由于其受交易回報(bào)延遲影響,導(dǎo)致當(dāng)日未能對(duì)其買(mǎi)入的可轉(zhuǎn)債進(jìn)行賣(mài)出��,后續(xù)再交易產(chǎn)生虧損���,要求索賠1.4萬(wàn)元���,最終以7600余元和解�。
封面圖片來(lái)源:視覺(jué)中國(guó)-VCG211101902712
