随着证券公司业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。2022上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。
在此背景下,2023年1月,中国证券业协会发布《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)(以下简称《三年提升计划》)。
《三年提升计划》共计5章20条,提出33项重点工作,聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
《三年提升计划》鼓励进一步合理加大科技资金投入,有条件的公司2023~2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%,其中网络和信息安全投入不低于信息科技投入的7%。
证券公司应制定人才培养计划,鼓励进一步合理增加科技人员投入,持续充实专业技术人才队伍,配备充足的信息科技和网络安全等专业人才,信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
《三年提升计划》提出稳健性(强化合规风控,严守风险底线)、系统性(强化协同机制,整体规划)、差异性(明确网络和信息安全提升重点)、创新性(将创新应用作为数字化发展、网络和信息安全的名列前茅动力)四大原则。
《三年提升计划》提出总体目标:力争到 2025 年,通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效:行业人员网络和信息安全意识明显增强,科技治理能有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。
扫码下载《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)
扫描二维码 即刻下载知识大陆APP
文章来自:https://www.freebuf.com/
