证券时报记者 许盈 刘艺文
证券时报记者获悉,中国证券业协会(下称中证协)组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》(下称《安全提升计划》),并于昨日开始向券商征求意见。
据悉,《安全提升计划》是指导2023年至2025年券商提升网络与信息安全工作的行动指南,券商可参照实施,并制定配套实施计划。中证协将为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据。
“2022年上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺,已经成为长期制约行业信息系统安全的主要问题。”起草说明称。
《安全提升计划》提出,券商应建立科学合理的科技投入机制。一是合理加大科技资金投入,鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。二是加强科技人才队伍建设,鼓励进一步合理增加科技人员投入,配备充足的信息科技和网络安全等专业人才,信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
券商要完善移动客户端应用软件(下称APP)认证机制。充分认识APP安全检测认证的重要性,参照行业APP安全标准要求开发运营APP,鼓励委托第三方机构开展APP安全认证,及时发现APP中存在的安全隐患,确保证券公司自营APP在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准,切实保护投资者个人信息安全。
《安全提升计划》鼓励有条件的券商合作研发或自主研发安全可控的关键技术、系统或设施。对于外购系统,要求厂商提供完整的系统技术资料,并对券商技术人员开展全面的专业培训,确保深入掌握系统的技术架构与关键技术环节。鼓励申请企业专利,加强知识产权保护,提升信息系统的整体安全水平,减少对于信息系统的侵权、仿制、破解等风险。行业层面,优化知识管理,进一步提升行业知识共享,运用集体智慧,加强核心系统的自主掌控能力。
中证协要求,各券商要加强组织领导,同时设置领导小组,指定一名领导班子成员负责领导小组的具体工作实施,建立健全网络和信息安全提升工作机制,通过制定具体的提升计划和路线图,明确任务分工,落实工作责任,保障人力和资金资源投入,以保证贯彻落实网络和信息安全提升工作目标要求。
此外,中证协还将建立券商网络和信息安全提升的信息统计机制,推动相关配套激励政策落实,为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据。
据了解,《安全提升计划》主要任务聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。