一、出台背景
【资料图】
经过5个月左右的意见征求之后,中国证券业协会于2023年6月9日正式印发《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》)。《提升计划》与今年5月1日正式实施的《证券期货业网络和信息安全管理办法》(以下简称《管理办法》)一脉相承,从行业自律和督导的角度推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设,给证券公司的网络和信息安全建设提供了方向指导和实施路径参考。
《提升计划》共包含六类31项主要任务要求,形成32项具体任务清单,主要聚焦在科技治理水平、科技投入机制、信息系统架构规划、系统研发测试管理、系统运行保障和信息安全防护等方面。
二、《提升计划》与征求意见稿的主要变化
通过将正式发布的《提升计划》与征求意见稿进行对比,摘取和总结了部分重要的区别,具体如下:
章节 | 发布版内容 | 主要区别与分析 |
(一)持续提升科技治理水平 | 3.大力推动信息科技管理体系建设。健全网络和信息安全管理制度体系,筹划、建立和完善信息系统开发、测试、运维及信息安全等技术领域的管理体系…… | 出于系统性原则考虑,新增了“健全网络和信息安全管理制度体系”,要求证券公司补齐安全管理制度体系。 |
4.健全信息科技风险管理三道防线。充分发挥信息技术、合规风控、稽核审计三道防线的监控和督导作用,全面识别风险、揭示问题,定期组织各防线的内部检查、风险评估与审计,建立风险及问题闭环管理机制,确保风险及问题妥当处理。 | 由“二道防线”升级为“信息技术、合规风控、稽核审计三道防线”,突出了要加强对信息科技风险的监测与评估。 | |
5.持续完善供应商管理机制。定期开展供应商评估,对合作供应商的资质、服务质量等内容进行评估与审查,持续保障系统和服务的可靠性。 | 删除了对合作供应商的响应效率的评估和审查。 | |
(二)建立科学合理的科技投入机制 | 1.合理加大科技资金投入。鼓励有条件的证券公司在2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的10%或平均营业收入的7%,并保持稳定的资金投入。持续优化信息科技投入结构,加大研发类、网络和信息安全类以及信创建设等方面的投入,深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设。 | 信息科技平均投入金额由“平均净利润的8%或平均营业收入的6%”增加到“平均净利润的10%或平均营业收入的7%”,删除了“其中网络和信息安全投入不低于信息科技投入总额的7%”的要求。 |
2.加强科技人才队伍建设。持续充实信息科技专业人才队伍,鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%,其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人。 | 信息科技专业人员占比由6%增加到7%,网络和信息安全人员由不少于4人减少到不少于2人。从整体出发,充分考虑了中小型证券机构的实际情况。 | |
(三)增强信息系统架构规划掌控能力 | 1.建立及完善系统架构管理机制。……加强开源软件治理,防范安全风险。…… | 增加了对开源软件治理的安全要求。 |
4.多方位推进技术架构转型升级。……根据不同客户群开展核心系统技术架构的转型升级工作。……鼓励有条件的证券给公司加快信息系统在私有云与行业云部署,提升系统云化比例。 | 出于稳健性原则考虑,删除了“通过云计算平台承载及运行的信息系统比例不低于 60%,由容器等云平台承载的云原生系统比例不低于 10%”。明确了在私有云与行业云的部署,排除了公有云情况。 | |
(四)强化系统研发测试管理能力 | 4.全面加强信息系统测试质量管控。……鼓励有条件的证券公司,稳健提升重要信息系统的自动化测试比例…… | 删除了“重要信息系统的自动化测试比例不低于整体测试比例 30%”。 重点任务清单里删除了“测试人员不低于研发测试人数的20%”。 |
(五)夯实系统运行保障能力 | 2.全面管控信息系统变更风险。……鼓励有条件的证券公司,稳健提升重要信息系统自动化发布比率,…… | 出于稳健性原则考虑,删除了“重要信息系统组件的自动化发布比率不低于 40%”。 |
(六)健全信息安全防护体系 | 1.落实等级保护定级和测评要求。……对所有信息系统开展等级保护定级,遵循网络安全等级保护基本要求和评测行业标准,…… | 删除了“按照监管机构的指导意见将重要信息系统定为三级或二级”。 |
6.加强数据安全管理体系建设。……对于有权访问数据资产的用户,能够综合采用口令、密码技术、生物技术等信息识别用户身份……严格遵照法律法规要求对核心数据、重要数据处理活动进行风险评估,开展有效的个人信息保护影响评估,规范投资者个人信息处理活动,建立健全数据全生命周期的安全管理长效机制和防护措施。具有跨境相关业务与应用场景的证券公司,要严格落实国家法律法规和监管部门关于数据安全的各项管理规定,重点加强核心数据、重要数据及个人信息等的安全管理,认真组织开展数据安全评估,确保数据安全。 | (1)增加了“密码技术”的身份认证方式,与密评要求保持一致; (2)出于系统性原则考虑,增加了全数据生命周期安全的防护以及风险评估要求;增加了个人信息保护的要求;增加了数据跨境安全的要求。以上三点内容为当前证券公司在数据安全方面的新增要求,给接下来证券公司数据安全工作提供了指导。 (3)出于稳健性原则考虑,删除了“鼓励参与经营机构间共享数据,主动探索数消费场景,……,充分发挥数据要素的价值”。这一点主要是考虑到当前隐私计算技术等仍存在合规问题。 | |
四、组织保障 (三)完善评估激励 | 各证券公司要建立网络和信息安全提升工作统计考评的长效机制,奖优惩劣。协会建立证券公司网络和信息安全提升的信息统计和评估机制,推动相关配套激励政策落实。 | 删除了“为网络和信息安全情况纳入证券公司信息科技分类监管评级提供公允的参考依据”。2009 年 5 月,证监会出台《证券公司分类监管规定》,确立了分类评价指标体系,并于2010 年 5 月、2017 年 7 月、2020年7月进行了三次修改,或许下次修订时,该指标有希望纳入评价体系。 |
三、《提升计划》落地要点
证券公司在对照和推进落地《提升计划》时,可重点围绕以下要点制定切实可行的方案,以期网络和信息安全建设取得扎实成效。
1.加强顶层设计,制定网络和信息安全发展规划
证券公司在2023年底前根据公司的整体战略规划,制定及完善信息科技战略发展规划,合理加大科技资金和人员投入。规划要考虑到安全的全局性,涵盖网络和信息安全领域,或者单独制定网络和信息安全发展规划,囊括安全治理体系、安全管理体系、安全技术体系、安全开发和运营体系、安全验证体系等,从组织安全、人员安全、安全制度、数据安全、供应链安全、网络安全、移动安全、云安全、开发安全、应用安全等安全专项维度进行执行落实,保护证券公司的基础设施、技术平台、应用平台、业务应用等对象。
2.完善系统架构建设,推进技术升级和创新
证券公司在2023年底前对公司的系统和架构资产进行规划设计和统一管理,设立专业的组织与人员岗位。企业级应用上加强业务一体化服务平台建设,核心系统的技术架构向分布式、低时延、开放技术架构转型,向分布式云、云原生架构升级。同时,证券公司要加强自主研发能力,深入开展信息技术应用创新及密码应用相关工作。另外针对重要数据,证券公司要做全生命周期的安全防护和风险评估,做到动态监控、持续优化,将数据安全作为常态化工作。
3.强化需求分析、研发、测试、运行、应急等全流程安全保障能力
第一步,为了提升研发效能,建立完善需求设计及分析机制,对市场变化做到快速响应;第二步,通过建设统一的源代码管理工具和研发运营一体化工具平台,将安全手段嵌入各环节,建立标准的安全开发规范,做好开源代码检测和审计;第三步,建立完备的系统测试管理机制,建设测试管理平台,借助自动化测试手段提升效率;第四步,定期开展全链路性能压测,进行持续的安全监测,加强信息系统上下线、变更等风险,建设一体化运维监控平台;第五步,健全组织级应急响应管理机制,建设自动化、平台化的故障指挥协作系统以及数据备份服务。
中国信通院积极发挥自身在法规、技术和产业等多方面积累的能力和优势,通过提供金融业数字安全信息咨询服务、网络和信息安全规划服务、数据安全体系规划服务、测试与评估服务、安全培训服务等全方位服务,助力金融业提升自身安全保障能力,更好地满足国家和行业监管的要求,建设高质量的数字安全体系。
作 者
徐 秀中国信通院云大所金融科技部高级业务主管,中科院网络空间安全博士。长期从事网络和数据安全、密码应用、隐私计算等领域的研究、标准制定、咨询与测评服务等。
联系方式:15201440242(同微信)
