本報記者 周尚伃
隨著《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》(以下簡稱《安全提升計劃》)實施收官,針對證券行業(yè)網(wǎng)絡(luò)和信息安全的“全面體檢”正式啟動���。
2月4日��,《證券日報》記者從多家券商處獲悉�����,根據(jù)監(jiān)管部門關(guān)于做好總結(jié)評估工作的要求�,中國證券業(yè)協(xié)會已向各家券商下發(fā)總結(jié)評估問卷,擬開展“證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)總結(jié)評估調(diào)研”工作(以下簡稱“調(diào)研”)��。這意味著�,過去三年行業(yè)在科技安全領(lǐng)域的投入與建設(shè)成果,將迎來一次基于71項具體指標(biāo)的“大考”�����。
細(xì)化為71項具體任務(wù)
據(jù)了解�,此次調(diào)研聚焦《安全提升計劃》的六大核心領(lǐng)域,包括持續(xù)提升科技治理水平�����、建立科學(xué)合理的科技投入機制�����、增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力、強化系統(tǒng)研發(fā)測試管理能力�、夯實系統(tǒng)運行保障能力、健全信息安全防護體系�,并將其細(xì)化為71項具體任務(wù)。
值得關(guān)注的是�,這71項任務(wù)被明確劃分為“工作任務(wù)”與“鼓勵性任務(wù)”兩大類。其中���,有55項為“硬性”工作任務(wù)���,16項為鼓勵性任務(wù)?����?傮w來看��,從頂層設(shè)計的科技治理架構(gòu)����,到具體的研發(fā)測試流程管理����,再到底層的運行保障與安全防護��,問卷覆蓋了券商信息系統(tǒng)全生命周期的關(guān)鍵節(jié)點����。
在科技治理層面�����,問卷對券商頂層設(shè)計提出了明確要求��,包括完善科技戰(zhàn)略發(fā)展規(guī)劃��、健全科技治理架構(gòu)等9項任務(wù)全部列為“硬性”工作任務(wù)�����。這意味著券商的科技治理需上升至公司戰(zhàn)略高度�����,實現(xiàn)科技與業(yè)務(wù)的深度融合與協(xié)同發(fā)展�����。
科技投入作為安全建設(shè)的“源頭活水”,也是此次調(diào)研的重點關(guān)注領(lǐng)域����,問卷設(shè)置了清晰且具有引導(dǎo)性的量化指標(biāo)。除了“是否制定了人才培養(yǎng)計劃”這1項“硬性”工作任務(wù)外�,還設(shè)置了4項鼓勵性任務(wù),例如“2023年至2025年三個年度信息科技投入平均金額不少于上述三個年度平均凈利潤的10%或平均營業(yè)收入的7%”“提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%�,信息安全專業(yè)人員比例提升至信息科技專業(yè)人員總數(shù)的3%并且不少于2人”是其中兩大任務(wù)。
國泰海通證券計算機行業(yè)首席分析師楊林表示:“券商信息技術(shù)的持續(xù)投入對改善客戶體驗�、推動業(yè)務(wù)發(fā)展、提升經(jīng)營效率����、降低風(fēng)險成本的支撐和引領(lǐng)作用日益顯現(xiàn),券商加大信息技術(shù)投入�、加強金融科技賦能已成為行業(yè)共識。尤其2025年以來����,人工智能正在引發(fā)證券行業(yè)底層技術(shù)架構(gòu)的革新,有望引領(lǐng)券商新一輪科技投入浪潮����。”
40項任務(wù)涉及兩大方向
如果說科技投入是安全建設(shè)的基礎(chǔ)����,那么架構(gòu)掌控與研發(fā)管理則是安全的核心抓手���。在增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力一項中,建立及完善系統(tǒng)架構(gòu)管理機制�、推進技術(shù)架構(gòu)轉(zhuǎn)型、提高核心系統(tǒng)自主掌控能力等8項任務(wù)(含4項工作任務(wù)���、4項鼓勵性任務(wù))獲重點關(guān)注��。同時��,研發(fā)測試環(huán)節(jié)的安全權(quán)重被大幅提升��,建立需求設(shè)計分析機制�����、制定代碼審計規(guī)范����、加強測試質(zhì)量管控等9項任務(wù)全部被列為“硬性”工作任務(wù)�����。
記者注意到,在71項任務(wù)中��,“夯實系統(tǒng)運行保障能力”與“健全信息安全防護體系”兩大方向合計涉及40項具體任務(wù)����,成為此次評估的重點。
在運行保障方面�����,問卷涵蓋了從系統(tǒng)上下線管理�、變更風(fēng)險管控到故障發(fā)現(xiàn)、應(yīng)急響應(yīng)�、容量性能管理等19項任務(wù)。特別是“健全組織級應(yīng)急響應(yīng)管理機制”和“完善重要信息系統(tǒng)數(shù)據(jù)備份能力”這兩項任務(wù)�����,在近年來行業(yè)內(nèi)多次發(fā)生系統(tǒng)宕機事件后�,被賦予了較高的考核權(quán)重。
在健全信息安全防護體系上��,問卷設(shè)置了21項具體任務(wù)�,其中12項為“硬性”工作任務(wù)、7項為鼓勵性任務(wù)����,涵蓋落實等級保護測評、深化漏洞管控��、提升攻擊防控能力���、加強數(shù)據(jù)安全管理等核心內(nèi)容����。值得注意的是��,“持續(xù)加強網(wǎng)絡(luò)安全態(tài)勢感知和通報預(yù)警”以及“加強數(shù)據(jù)安全管理體系建設(shè)”這兩項任務(wù)被重點提及�����,顯示出監(jiān)管部門對數(shù)據(jù)要素安全和主動防御能力的高度重視�����。
京公網(wǎng)安備 11010602201377號京ICP備19002521號