三年提升计划来了!事关券商信息安全 有这些规则
6月9日,中国证券业协会(以下简称“中证协”)发布了证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》),推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险。
(资料图片)
《安全提升计划》明确未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。围绕国家关于网络和信息安全的具体要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚焦防范网络和信息安全风险,明确六类31项主要任务要求,形成32项具体任务清单。
明确四大原则,强化合规风控
《安全提升计划》全面落实网络强国、数字中国战略,坚持稳中求进,立足新发展阶段,贯彻新发展理念,统筹发展和安全,有机结合国家金融安全与行业数字化发展,探索安全可靠的数字化新技术、新模式,推进行业网络和信息安全防护能力持续提升,牢牢守住不发生系统性金融风险的底线。
《安全提升计划》明确了应当遵循的基本原则,一是稳健性原则,强化合规风控,严守风险底线;二是系统性原则,强化协同机制,整体规划;三是差异性原则,强化专业引领,因司制宜;四是创新性原则,强化创新驱动,科技赋能。
中证协表示,未来三年全面提升证券公司网络和信息安全的总体目标是通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效:行业从业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。
31项主要任务,提升券业科技治理水平
《安全提升计划》明确了六大类31项主要任务。
其中,持续提升科技治理水平的任务共5项,包括完善信息科技战略发展规划、发挥科技治理组织作用、推动信息科技管理体系建设、健全信息科技风险管理三道防线、完善供应商管理机制等方面。
建立科学合理的科技投入机制的任务共2项,包括加大科技资金投入、加强科技人才队伍建设等方面。
增强信息系统架构规划掌控能力的任务共5项,包括建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级、持续提高核心系统自主掌控能力等方面。
强化系统研发测试管理能力的任务共4项,包括建立及完善需求设计及分析机制、提升代码开发效率及安全、制定并落实信息系统代码审计规范、加强信息系统测试质量管控等方面。夯实系统运行保障能力的任务共7项,包括加强信息系统上下线管理、管控信息系统变更风险、提升信息系统故障发现能力、提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力等方面。
健全信息安全防护体系的任务共8项,包括落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安全攻击防控能力、加强网络安全态势感知和通报预警、完善移动客户端应用软件认证机制、加强数据安全管理体系建设、持续加强安全意识培训、做好安全全局性建设等方面。
中证协表示,为推动《安全提升计划》贯彻落实,中证协将加强对证券行业网络和信息安全提升工作的督导,通过推动各公司加强组织领导、重视人才培养、完善评估激励、强化制度供给、做好安全服务、加强培训交流和总结推广示范实践等方式,引导行业对标提升,构建良好的证券科技生态。