每日經(jīng)濟新聞 2023-06-09 22:24:08
每經(jīng)記者 王硯丹 每經(jīng)編輯 趙云
近日,中國證券業(yè)協(xié)會印發(fā)《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》,闡明未來三年全面提升證券公司網(wǎng)絡(luò)和信息安全的指導(dǎo)思想、基本原則、總體目標、主要任務(wù)及實施路徑。
本次計劃旨在鼓勵有條件的券商充分利用新技術(shù)積極推進新一代核心系統(tǒng)的建設(shè),開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作。計劃的總體目標是通過組織引導(dǎo)券商積極落實各項行動舉措,促進證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效。
其中最引人注目的是,本次計劃明確提出,券商信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業(yè)收入的7%。相較于征求意見稿中要求的三個年度信息科技平均投入金額則不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%,正式計劃有較大幅度提升。
來看本次安全計劃的要點:
要堅持以習(xí)近平新時代中國特色社會主義思想特別是習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強國的重要思想為指導(dǎo)。遵循穩(wěn)健性、系統(tǒng)性、差異性、創(chuàng)新性等基本原則。深入貫徹黨的二十大精神,全面落實網(wǎng)絡(luò)強國、數(shù)字中國戰(zhàn)略,力爭到2025年,證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效,為行業(yè)高質(zhì)量發(fā)展提供有力支撐,全力支持資本市場改革發(fā)展,牢牢守住不發(fā)生系統(tǒng)性金融風(fēng)險的底線。
本次計劃明確了券商三年應(yīng)完成的主要任務(wù),包括以下六方面:
一是持續(xù)提升科技治理水平。主要包括全面完善信息科技戰(zhàn)略發(fā)展規(guī)劃,充分發(fā)揮科技治理組織作用,大力推動信息科技管理體系建設(shè),健全信息科技風(fēng)險管理三道防線,持續(xù)完善供應(yīng)商管理機制等五方面具體要求。
二是建立科學(xué)合理的科技投入機制。主要包括合理加大科技資金投入,加強科技人才隊伍建設(shè)等兩方面具體要求。提出了信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業(yè)收入的7%,信息科技專業(yè)人員不低于企業(yè)員工總數(shù)的7%,其中信息安全專業(yè)人員比例不低于信息科技專業(yè)人員總數(shù)的3%并且不少于2人。
三是增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力。主要包括建立及完善系統(tǒng)架構(gòu)管理機制,建設(shè)及健全企業(yè)級應(yīng)用架構(gòu),持續(xù)加強數(shù)據(jù)架構(gòu)體系治理,多方位推進技術(shù)架構(gòu)轉(zhuǎn)型升級,持續(xù)提高核心系統(tǒng)自主掌控能力等五方面具體要求。此部分是本次提升計劃的重點,鼓勵有條件的證券公司充分利用新技術(shù)積極推進新一代核心系統(tǒng)的建設(shè),開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作。
四是強化系統(tǒng)研發(fā)測試管理能力。主要包括建立及完善需求設(shè)計及分析機制,持續(xù)提升代碼開發(fā)效率及安全,制定并落實信息系統(tǒng)代碼審計規(guī)范,全面加強信息系統(tǒng)測試質(zhì)量管控等四方面具體要求。
五是夯實系統(tǒng)運行保障能力。主要包括加強信息系統(tǒng)上下線管理,全面管控信息系統(tǒng)變更風(fēng)險,持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力,全面提高事件預(yù)警及處置效率,健全組織級應(yīng)急響應(yīng)管理機制,做好信息系統(tǒng)容量與性能管理,完善重要信息系統(tǒng)數(shù)據(jù)備份能力等七方面具體要求。
六是健全信息安全防護體系。主要包括落實等級保護定級和測評要求,深化漏洞全生命周期管控,提升安全攻擊防控能力,持續(xù)加強網(wǎng)絡(luò)安全態(tài)勢感知和通報預(yù)警,完善移動客戶端應(yīng)用軟件認證機制,加強數(shù)據(jù)安全管理體系建設(shè),持續(xù)加強安全意識培訓(xùn),做好安全全局性建設(shè)等八方面具體要求。
本次計劃明確了券商32項具體任務(wù)清單,其中2023年底應(yīng)完成的具體任務(wù)主要有以下方面:
證券公司在2023年底前應(yīng)設(shè)立專業(yè)的信息系統(tǒng)架構(gòu)管控角色、崗位、團隊或聯(lián)合組織,對公司的信息系統(tǒng)和架構(gòu)資產(chǎn)進行規(guī)劃設(shè)計及統(tǒng)一管理。
證券公司在2023年底前制定及完善涵蓋自研系統(tǒng)和外購系統(tǒng)的代碼審計規(guī)范。自研系統(tǒng)實現(xiàn)自研代碼審計全覆蓋。
證券公司在2023年底前應(yīng)建立與持續(xù)完善軟件質(zhì)量管理制度以及測試指引。重要信息系統(tǒng)新上線或較大變更上線前,全面完成測試驗收。
證券公司在2023年底前建立健全自上而下、協(xié)同聯(lián)動、高效有力的應(yīng)急管理和輿情管理機制,提高公司應(yīng)急管理和輿情管理水平,實現(xiàn)信息運行的實時輿情監(jiān)測,并根據(jù)應(yīng)急組織架構(gòu),壓實各部門應(yīng)急處置責(zé)任。
證券公司在2023年底前應(yīng)建立完善的漏洞管理制度,明確分級分類標準、職責(zé)分工與處置要求,漏洞管理覆蓋研發(fā)過程管理、供應(yīng)鏈管理和常態(tài)化風(fēng)險巡檢等方面。
證券公司在2023年底前應(yīng)建立個人信息保護制度體系,明確工作職責(zé),規(guī)范工作流程,加強對本公司及外部合作機構(gòu)管理。
近年來,證券行業(yè)不斷加大信息技術(shù)投入力度。根據(jù)中國證券業(yè)協(xié)會去年11月發(fā)布的《2022證券公司數(shù)字化轉(zhuǎn)型實踐報告及案例匯編》,證券行業(yè)機構(gòu)積極推進數(shù)字化轉(zhuǎn)型,開展了大量卓有成效的工作,取得了豐碩的實踐成效。2021年證券公司IT人員總數(shù)為30952人,同比增長19.7%,信息技術(shù)投入總金額為338.20億元,同比增長28.7%。
此外,從券商披露的2022年信息技術(shù)投入金額來看,2022年證券行業(yè)繼續(xù)加大對信息技術(shù)投入。華泰證券2022年信息技術(shù)投入高達27.24億元,中金公司達到19.06億元,同比增長41.6%;國泰君安達17.99億元,同比增長17.2%。此外,海通證券、招商證券、中信建投、廣發(fā)證券、中國銀河、安信證券母公司國投資本等的投入金額均超10億元。
不過,即使加大了對信息技術(shù)的投入,部分券商仍因交易系統(tǒng)“宕機”引發(fā)市場與行業(yè)關(guān)注。
今年3月21日,東方財富證券交易軟件在一個交易日內(nèi)出現(xiàn)“兩連崩”。證監(jiān)會和西藏證監(jiān)局隨后均對該事件表示關(guān)注。
3月31日晚,西藏證監(jiān)局對東方財富采取責(zé)令改正措施。西藏證監(jiān)局指出,經(jīng)查,東方財富證券在2023年3月21日的網(wǎng)絡(luò)安全事件中,存在信息系統(tǒng)升級論證測試不充分、未及時報告網(wǎng)絡(luò)安全事件的問題。“依據(jù)相關(guān)規(guī)定,決定對東方財富證券采取責(zé)令改正的監(jiān)督管理措施。同時,責(zé)令東方財富證券對此次事件相關(guān)責(zé)任人員進行內(nèi)部責(zé)任追究,并妥善處置此次事件引發(fā)的投資者訴求。”
中證協(xié)前期發(fā)布的《2022年度證券公司投資者服務(wù)與保護報告》也指出,去年出現(xiàn)了多起因券商交易系統(tǒng)問題導(dǎo)致糾紛的案例。如有投資者反饋由于其受交易回報延遲影響,導(dǎo)致當(dāng)日未能對其買入的可轉(zhuǎn)債進行賣出,后續(xù)再交易產(chǎn)生虧損,要求索賠1.4萬元,最終以7600余元和解。
封面圖片來源:視覺中國-VCG211101902712
如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP