中國證券業(yè)協(xié)會發(fā)布《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》(征求意見稿)

發(fā)布時間 2023-01-31

隨著證券公司業(yè)務(wù)與技術(shù)加速融合,網(wǎng)絡(luò)和信息安全管理日趨復雜,信息系統(tǒng)建設(shè)任務(wù)明顯增加,上線變更操作較為頻繁,行業(yè)網(wǎng)絡(luò)和信息安全管理能力面臨更大挑戰(zhàn)。2022上半年,證券行業(yè)網(wǎng)絡(luò)安全事件發(fā)生較為頻繁,對資本市場的安全平穩(wěn)運行造成較大沖擊。


在此背景下,2023年1月,中國證券業(yè)協(xié)會發(fā)布《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》(征求意見稿)(以下簡稱《三年提升計劃》)。


《三年提升計劃》共計5章20條,提出33項重點工作,聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題,從科技治理能力、科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力和網(wǎng)絡(luò)信息安全防護體系等六個方面明確提出提升方向和要求。


《三年提升計劃》鼓勵進一步合理加大科技資金投入,有條件的公司2023~2025三個年度信息科技投入平均金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%,其中網(wǎng)絡(luò)和信息安全投入不低于信息科技投入的7%。


證券公司應(yīng)制定人才培養(yǎng)計劃,鼓勵進一步合理增加科技人員投入,持續(xù)充實專業(yè)技術(shù)人才隊伍,配備充足的信息科技和網(wǎng)絡(luò)安全等專業(yè)人才,信息科技專業(yè)人員不低于公司員工總數(shù)的6%,網(wǎng)絡(luò)和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應(yīng)少于4人。


《三年提升計劃》提出穩(wěn)健性(強化合規(guī)風控,嚴守風險底線)、系統(tǒng)性(強化協(xié)同機制,整體規(guī)劃)、差異性(明確網(wǎng)絡(luò)和信息安全提升重點)、創(chuàng)新性(將創(chuàng)新應(yīng)用作為數(shù)字化發(fā)展、網(wǎng)絡(luò)和信息安全的第一動力)四大原則。


《三年提升計劃》提出總體目標:力爭到 2025 年,通過組織引導證券公司積極落實各項行動舉措,促進證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效:行業(yè)人員網(wǎng)絡(luò)和信息安全意識明顯增強,科技治理能有效提升,信息系統(tǒng)架構(gòu)掌控能力全面加強,科技資金投入和人才培養(yǎng)力度持續(xù)加大,網(wǎng)絡(luò)和信息安全防護體系基本健全,行業(yè)科技創(chuàng)新和數(shù)字化轉(zhuǎn)型邁上新的臺階,為行業(yè)高質(zhì)量發(fā)展提供有力支撐,全力支持資本市場改革發(fā)展,牢牢守住不發(fā)生系統(tǒng)性網(wǎng)絡(luò)和信息安全風險的底線。