重視網(wǎng)絡(luò)安全,中證協(xié)向券商提要求:未來三年IT投入不低于平均凈利潤10%或平均營業(yè)收入7%
每日經(jīng)濟(jì)新聞
2023-06-09 22:24:08
每經(jīng)記者 王硯丹 每經(jīng)編輯 趙云
近日,中國證券業(yè)協(xié)會印發(fā)《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)》�,闡明未來三年全面提升證券公司網(wǎng)絡(luò)和信息安全的指導(dǎo)思想、基本原則��、總體目標(biāo)�����、主要任務(wù)及實(shí)施路徑����。
本次計(jì)劃旨在鼓勵有條件的券商充分利用新技術(shù)積極推進(jìn)新一代核心系統(tǒng)的建設(shè)����,開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作。計(jì)劃的總體目標(biāo)是通過組織引導(dǎo)券商積極落實(shí)各項(xiàng)行動舉措�����,促進(jìn)證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效�����。
其中最引人注目的是,本次計(jì)劃明確提出����,券商信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業(yè)收入的7%。相較于征求意見稿中要求的三個(gè)年度信息科技平均投入金額則不少于上述三個(gè)年度平均凈利潤的8%或平均營業(yè)收入的6%�����,正式計(jì)劃有較大幅度提升����。
來看本次安全計(jì)劃的要點(diǎn):
要點(diǎn)一:明確信息系統(tǒng)建設(shè)應(yīng)遵循穩(wěn)健性、系統(tǒng)性����、差異性、創(chuàng)新性等基本原則
要堅(jiān)持以習(xí)近平新時(shí)代中國特色社會主義思想特別是習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想為指導(dǎo)����。遵循穩(wěn)健性、系統(tǒng)性���、差異性�、創(chuàng)新性等基本原則����。深入貫徹黨的二十大精神��,全面落實(shí)網(wǎng)絡(luò)強(qiáng)國�、數(shù)字中國戰(zhàn)略���,力爭到2025年��,證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效,為行業(yè)高質(zhì)量發(fā)展提供有力支撐�����,全力支持資本市場改革發(fā)展�����,牢牢守住不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)的底線��。
要點(diǎn)二:提出六大主要任務(wù)
本次計(jì)劃明確了券商三年應(yīng)完成的主要任務(wù)�,包括以下六方面:
一是持續(xù)提升科技治理水平。主要包括全面完善信息科技戰(zhàn)略發(fā)展規(guī)劃��,充分發(fā)揮科技治理組織作用����,大力推動信息科技管理體系建設(shè)��,健全信息科技風(fēng)險(xiǎn)管理三道防線����,持續(xù)完善供應(yīng)商管理機(jī)制等五方面具體要求�。
二是建立科學(xué)合理的科技投入機(jī)制。主要包括合理加大科技資金投入�����,加強(qiáng)科技人才隊(duì)伍建設(shè)等兩方面具體要求��。提出了信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業(yè)收入的7%����,信息科技專業(yè)人員不低于企業(yè)員工總數(shù)的7%,其中信息安全專業(yè)人員比例不低于信息科技專業(yè)人員總數(shù)的3%并且不少于2人�。
三是增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力。主要包括建立及完善系統(tǒng)架構(gòu)管理機(jī)制����,建設(shè)及健全企業(yè)級應(yīng)用架構(gòu),持續(xù)加強(qiáng)數(shù)據(jù)架構(gòu)體系治理��,多方位推進(jìn)技術(shù)架構(gòu)轉(zhuǎn)型升級,持續(xù)提高核心系統(tǒng)自主掌控能力等五方面具體要求���。此部分是本次提升計(jì)劃的重點(diǎn)����,鼓勵有條件的證券公司充分利用新技術(shù)積極推進(jìn)新一代核心系統(tǒng)的建設(shè)��,開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作��。
四是強(qiáng)化系統(tǒng)研發(fā)測試管理能力���。主要包括建立及完善需求設(shè)計(jì)及分析機(jī)制,持續(xù)提升代碼開發(fā)效率及安全���,制定并落實(shí)信息系統(tǒng)代碼審計(jì)規(guī)范��,全面加強(qiáng)信息系統(tǒng)測試質(zhì)量管控等四方面具體要求����。
五是夯實(shí)系統(tǒng)運(yùn)行保障能力�。主要包括加強(qiáng)信息系統(tǒng)上下線管理,全面管控信息系統(tǒng)變更風(fēng)險(xiǎn)���,持續(xù)提升信息系統(tǒng)故障發(fā)現(xiàn)能力�����,全面提高事件預(yù)警及處置效率���,健全組織級應(yīng)急響應(yīng)管理機(jī)制��,做好信息系統(tǒng)容量與性能管理��,完善重要信息系統(tǒng)數(shù)據(jù)備份能力等七方面具體要求�����。
六是健全信息安全防護(hù)體系�。主要包括落實(shí)等級保護(hù)定級和測評要求�,深化漏洞全生命周期管控,提升安全攻擊防控能力��,持續(xù)加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知和通報(bào)預(yù)警�,完善移動客戶端應(yīng)用軟件認(rèn)證機(jī)制,加強(qiáng)數(shù)據(jù)安全管理體系建設(shè)��,持續(xù)加強(qiáng)安全意識培訓(xùn)����,做好安全全局性建設(shè)等八方面具體要求���。
要點(diǎn)三:形成32項(xiàng)具體任務(wù)清單
本次計(jì)劃明確了券商32項(xiàng)具體任務(wù)清單,其中2023年底應(yīng)完成的具體任務(wù)主要有以下方面:
證券公司在2023年底前應(yīng)設(shè)立專業(yè)的信息系統(tǒng)架構(gòu)管控角色��、崗位�、團(tuán)隊(duì)或聯(lián)合組織,對公司的信息系統(tǒng)和架構(gòu)資產(chǎn)進(jìn)行規(guī)劃設(shè)計(jì)及統(tǒng)一管理�。
證券公司在2023年底前制定及完善涵蓋自研系統(tǒng)和外購系統(tǒng)的代碼審計(jì)規(guī)范。自研系統(tǒng)實(shí)現(xiàn)自研代碼審計(jì)全覆蓋�。
證券公司在2023年底前應(yīng)建立與持續(xù)完善軟件質(zhì)量管理制度以及測試指引。重要信息系統(tǒng)新上線或較大變更上線前�,全面完成測試驗(yàn)收。
證券公司在2023年底前建立健全自上而下���、協(xié)同聯(lián)動、高效有力的應(yīng)急管理和輿情管理機(jī)制����,提高公司應(yīng)急管理和輿情管理水平,實(shí)現(xiàn)信息運(yùn)行的實(shí)時(shí)輿情監(jiān)測�,并根據(jù)應(yīng)急組織架構(gòu),壓實(shí)各部門應(yīng)急處置責(zé)任。
證券公司在2023年底前應(yīng)建立完善的漏洞管理制度���,明確分級分類標(biāo)準(zhǔn)��、職責(zé)分工與處置要求�����,漏洞管理覆蓋研發(fā)過程管理�、供應(yīng)鏈管理和常態(tài)化風(fēng)險(xiǎn)巡檢等方面����。
證券公司在2023年底前應(yīng)建立個(gè)人信息保護(hù)制度體系,明確工作職責(zé)���,規(guī)范工作流程�,加強(qiáng)對本公司及外部合作機(jī)構(gòu)管理��。
近年來券商不斷加大信息技術(shù)投入但仍因系統(tǒng)故障出現(xiàn)過與投資者糾紛
近年來��,證券行業(yè)不斷加大信息技術(shù)投入力度�����。根據(jù)中國證券業(yè)協(xié)會去年11月發(fā)布的《2022證券公司數(shù)字化轉(zhuǎn)型實(shí)踐報(bào)告及案例匯編》,證券行業(yè)機(jī)構(gòu)積極推進(jìn)數(shù)字化轉(zhuǎn)型�����,開展了大量卓有成效的工作��,取得了豐碩的實(shí)踐成效����。2021年證券公司IT人員總數(shù)為30952人,同比增長19.7%���,信息技術(shù)投入總金額為338.20億元��,同比增長28.7%���。
此外,從券商披露的2022年信息技術(shù)投入金額來看�,2022年證券行業(yè)繼續(xù)加大對信息技術(shù)投入。華泰證券2022年信息技術(shù)投入高達(dá)27.24億元�,中金公司達(dá)到19.06億元,同比增長41.6%�����;國泰君安達(dá)17.99億元����,同比增長17.2%。此外��,海通證券��、招商證券�、中信建投、廣發(fā)證券��、中國銀河����、安信證券母公司國投資本等的投入金額均超10億元。
不過�����,即使加大了對信息技術(shù)的投入����,部分券商仍因交易系統(tǒng)“宕機(jī)”引發(fā)市場與行業(yè)關(guān)注。
今年3月21日�����,東方財(cái)富證券交易軟件在一個(gè)交易日內(nèi)出現(xiàn)“兩連崩”。證監(jiān)會和西藏證監(jiān)局隨后均對該事件表示關(guān)注��。
3月31日晚���,西藏證監(jiān)局對東方財(cái)富采取責(zé)令改正措施����。西藏證監(jiān)局指出�����,經(jīng)查�����,東方財(cái)富證券在2023年3月21日的網(wǎng)絡(luò)安全事件中�,存在信息系統(tǒng)升級論證測試不充分、未及時(shí)報(bào)告網(wǎng)絡(luò)安全事件的問題�����。“依據(jù)相關(guān)規(guī)定��,決定對東方財(cái)富證券采取責(zé)令改正的監(jiān)督管理措施。同時(shí)�����,責(zé)令東方財(cái)富證券對此次事件相關(guān)責(zé)任人員進(jìn)行內(nèi)部責(zé)任追究���,并妥善處置此次事件引發(fā)的投資者訴求。”
中證協(xié)前期發(fā)布的《2022年度證券公司投資者服務(wù)與保護(hù)報(bào)告》也指出���,去年出現(xiàn)了多起因券商交易系統(tǒng)問題導(dǎo)致糾紛的案例�����。如有投資者反饋由于其受交易回報(bào)延遲影響�����,導(dǎo)致當(dāng)日未能對其買入的可轉(zhuǎn)債進(jìn)行賣出���,后續(xù)再交易產(chǎn)生虧損,要求索賠1.4萬元���,最終以7600余元和解��。
封面圖片來源:視覺中國-VCG211101902712
