发布于:2023-10-04 16:36:41 来源:产品展示 点击量:14次
公司网络和信息安全三年提升计划(2023-2025)》,明确了六大类31项主要任务,对券商网络和信息安全提出32条重点任务清单,作为指导2023至2025年券商提升网络和信息安全工作的行动指南,券商可参照实施。
鼓励信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%;
鼓励有条件的券商结合自己真实的情况逐步提升信息科技专业技术人员比例至企业员工总数的7%,其中信息安全专业技术人员比例至信息科技专业技术人员总数的3%并且不少于2人;
鼓励有条件的券商积极地推进新一代核心系统的建设,根据不同客户群开展核心系统技术架构的转型升级工作;
券商要认真总结网络和信息安全提升工作经验和实践成果,开展网络和信息系统安全宣传活动;
鼓励利用分布式、云原生等先进的技术对信息系统进行架构升级,提升系统的健壮性和扩展性。持续跟进新技术演变趋势,对云计算、云原生、敏捷研发交付流水线等信息技术架构变革;
突出夯实系统运行保障能力。券商需加强信息系统上下线管理、管控信息系统变更风险、提升信息系统故障发现能力、提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力等方面;
合理运用灰度发布策略,有效控制变更风险。持续完善变更管理机制,制定变更实施方案、变更影响分析、应急回退方案、业务验证等重要环节的落地要求,通过工具平台予以标准化;
鼓励委托具有资质的第三方专业机构开展App安全认证,及时有效地发现App中存在的安全风险隐患,保障券商自行运营的App在多方面符合国家及行业信息安全标准;
值得一提的是,本次计划最重点的是,鼓励有条件的券商充分的利用新技术积极地推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作。招商证券非银金融行业首席分析师郑积沙团队表示,“计划”中明确鼓励有条件的公司积极地推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作并积极从集中式专有技术架构向分布式、低时延、开放技术架构转型,具备高可用、高性能、低延时、易扩展及松耦合等特性。团队判断,未来将迎来核心系统的集中换代。
据记者了解,计划的总体目标是通过组织引导券商积极落实各项行动举措,促进行业网络和信息安全建设取得扎实成效,具体明确了应当遵循的4个根本原则:一是稳健性原则,强化合规风控,严守风险底线;二是系统性原则,强化协同机制,整体规划;三是差异性原则,强化专业引领,因司制宜;四是创新性原则,强化创新驱动,科技赋能。
中证协表示,为推动《安全提升计划》贯彻落实,将加强对行业网络和信息安全提升工作的督导,通过推动各公司加强组织领导、重视人才教育培训、完善评估激励、强化制度供给、做好安全服务、加强培训交流和总结推广示范实践等方式,引导行业对标提升,构建良好的证券科技生态。
财联社记者留意到,相较于此前发布的征求意见稿,《证券公司网络和信息安全三年提升计划(2023-2025)》正式稿有部分改动与变化。经记者与行业人士沟通,他们都以为,本次行动计划广泛听取了行业的意见建议。
作为本次提升计划的重中之重,鼓励有条件的券商充分的利用新技术积极地推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作,受到行业广泛关注。
提升计划提到券商要加强核心系统的技术攻关,鼓励有条件的券商积极地推进新一代核心系统的建设,根据不同客户群开展核心系统技术架构的转型升级工作。新一代核心系统实现交易、账户、清算与运营等功能分离,能够快速响应业务需求,满足未来业务发展需要。
提升计划还显示,券商要积极从集中式专有技术架构向分布式、低时延、开放技术架构转型,具备高可用、高性能、低时延、易扩展及松耦合等特性。
高可用方面,系统支持集群和多活容灾部署,数据中心内部单个物理设备故障不影响集群高可用,集群整体故障可实现秒级同城灾备切换或分钟级异地灾备切换;
性能和时延方面,系统能保持在较低时延水平的同时,具备高性能的订单持续处理能力;
易扩展方面,系统支持通过增加处理节点,实现快速的容量扩充,能够灵活支持新产品和新业务;
松耦合方面,系统的单个组件支持独立部署,功能相对独立,组件内高内聚,组件间松耦合。
在云平台方面,计划鼓励券商利用分布式、云原生等先进的技术对信息系统进行架构升级,提升系统的健壮性和扩展性。鼓励有条件的券商加快信息系统在私有云与行业云部署,提升系统云化比例。具体实施上,遵循“循序渐进、稳步推进、逐步切换”的原则,制定相应的风险应急预案,控制管理系统建设风险。
财联社记者留意到,相较于此前发布的征求意见稿,投入金额的力度也有大变化。正式稿鼓励券商信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%,征求意见稿为三个年度信息科技平均投入金额则不少于上述三个年度平均净利润的8%或平均营业收入的6%,要求投入比重有所提升。
人员配置也是出现了大的变化,正式稿鼓励有条件的券商结合自己真实的情况逐步提升信息科技专业技术人员比例至企业员工总数的7%,其中信息安全专业技术人员比例至信息科技专业技术人员总数的3%并且不少于2人。
相较于征求意见稿,记者发现,IT人员占比要求有所变化,此前征求意见稿要求信息科技专业技术人员不低于公司员工总数的6%,网络和信息安全专业技术人员不低于信息科技专业技术人员的3%且不应该少于4人。
这意味着,IT人员总数有所提升,但网络和信息安全专业技术人员数量要求有所放宽。
正式稿显示,券商要充分的发挥信息技术、合规风控、稽核审计三道防线的监控和督导作用,全面识别风险、揭示问题,定期组织各防线的内部检查、风险评估与审计,建立风险及问题闭环管理机制,确保风险及问题妥当处置。建立相应的信息科技风险监控机制,对业务开展中可能涉及网络和信息安全风险事项做监测和评估,降低信息科技操作风险。
此前征求意见稿显示,券商要健全网络和信息安全风险管理二道防线,增强内部审查力度,全面识别风险、揭示问题,定期组织各防线的内部审查,建立闭环管理机制,确保风险及问题妥当处置。充分的发挥合规风控二道防线的监控和督导作用。
征求意见稿显示,券商要完善重要信息系统数据备份能力。券商在2023年底前制定信息系统数据备份管理策略,建立数据防丢、防删的权限管控机制和技术方法,提升重要信息系统数据备份管控能力。
而正式稿显示,券商要完善重要信息系统备份能力。券商在2023年底前制定信息系统备份管理策略,建立数据防丢、防删的权限管控机制和技术方法,提升重要信息系统的备份管控能力建设。
征求意见稿显示,各券商要建立网络和信息安全提升工作统计考评的长效机制,奖优惩劣。协会建立券商网络和信息安全提升的信息统计机制,推动相关配套激励政策落实,为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考是依据。
正式稿显示,券商要建立网络和信息安全提升工作统计考评的长效机制,奖优惩劣。协会建立券商网络和信息安全提升的信息统计和评估机制,推动相关配套激励政策落实。其中,不再保留“为网络和信息安全情况纳入券商信息科技分类监管评级提供公允的参考依据”表述。
此外,征求意见稿鼓励券商应建设统一的告警平台,而最终正式稿不再保留这一鼓励性要求。
整体来看,《证券公司网络和信息安全三年提升计划(2023-2025)》共有六大类任务,其中夯实系统运行保障能力、健全信息安全防护体系是最为细致的两类任务。
持续提升科技治理水平的任务共5项,包括完善信息科技战略发展规划、发挥科技治理组织作用、推动信息科技管理体系建设、健全信息科技风险管理三道防线、完善供应商管理机制等方面;
建立科学合理的科技投入机制的任务共2项,包括加大科技资产金额的投入、加强科学技术人才队伍建设等方面;
增强信息系统架构规划掌控能力的任务共5项,包括建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转变发展方式与经济转型、持续提高核心系统自主掌控能力等方面;
强化系统研发测试管理能力的任务共4项,包括建立及完善需求设计及分析机制、提升代码开发效率及安全、制定并落实信息系统代码审计规范、加强信息系统测试质量管控等方面;
夯实系统运行保障能力的任务共7项,包括加强信息系统上下线管理、管控信息系统变更风险、提升信息系统故障发现能力、提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力等方面;
健全信息安全防护体系的任务共8项,包括落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安全攻击防控能力、加强网络安全态势感知和通报预警、完善移动客户端应用软件认证机制、加强数据安全管理体系建设、持续加强安全意识培训、做好安全全局性建设等方面。