6月9日消息,为推动券商加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险,近日,中证协印发《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》),明确六类31项主要任务要求,形成32项具体任务清单。
其中,《安全提升计划》明确指出,鼓励有条件的券商2023年至2025年三个年度信息科技平均投入金额不少于上述三个年度平均净利润的10%或平均营业收入的7%,较此前征求意见稿中的投入比例进一步抬升。同时,鼓励有条件的券商结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%,其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人。
明确六大类31项主要任务
(资料图片)
形成32项具体任务清单
《安全提升计划》围绕国家关于网络和信息安全的具体要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚焦防范网络和信息安全风险,明确六类31项主要任务要求,形成32项具体任务清单。明确了应当遵循的基本原则,一是稳健性原则,强化合规风控,严守风险底线;二是系统性原则,强化协同机制,整体规划;三是差异性原则,强化专业引领,因司制宜;四是创新性原则,强化创新驱动,科技赋能。
未来三年全面提升券商网络和信息安全的总体目标是通过组织引导券商积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效:行业从业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。
《安全提升计划》明确了六大类31项主要任务。一是,持续提升科技治理水平的任务共5项;二是,建立科学合理的科技投入机制的任务共2项;三是,增强信息系统架构规划掌控能力的任务共5项;四是,强化系统研发测试管理能力的任务共4项;五是,夯实系统运行保障能力的任务共7项;六是,健全信息安全防护体系的任务共8项。
为推动《安全提升计划》贯彻落实,中证协将加强对证券行业网络和信息安全提升工作的督导,通过推动各公司加强组织领导、重视人才培养、完善评估激励、强化制度供给、做好安全服务、加强培训交流和总结推广示范实践等方式,引导行业对标提升,构建良好的证券科技生态。
保障经费投入
夯实系统运行保障能力
近年来,随着证券行业资产规模和营业收入持续增长,以及业务创新的提速,证券行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺,已经成为长期制约行业信息系统安全的主要问题。《安全提升计划》中明确建立科学合理的科技投入机制的任务共2项,包括加大科技资金投入、加强科技人才队伍建设等方面。
2022年11月份,中国证券业协会发布的《证券公司数字化转型实践报告及案例汇编(2022)》显示,券商在信息技术方面的投入持续上升。2021年,全行业证券公司信息技术投入总金额为338.2亿元,同比增长28.7%。其中,头部券商投入集中度越来越高,前15家券商的投入占全行业投入的55.89%。
从上市券商来看,2022年,头部券商因资本实力雄厚投入相对较大。其中,华泰证券、中金公司、国泰君安、海通证券、招商证券、中信建投、广发证券、中国银河等8家券商的信息技术投入均超10亿元。其中,华泰证券的投入高达27.24亿元位列第一,2018年至2022年期间,其信息技术投入金额的GAGR(年复合增长率)达25.88%。
不过,虽然证券行业信息技术投入在持续增加,但信息安全事件仍时有发生,数字化转型过程中也暴露出阶段性问题,对资本市场的安全平稳运行造成较大冲击。例如,今年某互联网券商的交易软件一日内连续发生多起“宕机”事件,被监管部门采取责令改正措施,该公司在上述网络安全事件中,存在信息系统升级论证测试不充分、未及时报告网络安全事件等问题。
《安全提升计划》明确夯实系统运行保障能力的任务共7项,包括加强信息系统上下线管理、管控信息系统变更风险、提升信息系统故障发现能力、提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力等方面;健全信息安全防护体系的任务共8项,包括落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安全攻击防控能力、加强网络安全态势感知和通报预警、完善移动客户端应用软件认证机制、加强数据安全管理体系建设、持续加强安全意识培训、做好安全全局性建设等方面。
为充分了解券商数字化转型工作的进展,进一步深入了解证券期货行业在数字化转型中的数据研发现状,5月份,中证协对券商开展数字化转型专项调研,调研内容就包括对券商在数字化人才体系建设、信息技术人力投入、基础设施及运行管理投入、云数据中心和信息安全体系投入等方面的情况,以及在以上方面存在哪些困难和意见建议。