中证协发布网络与信息安全三年计划征求意见稿:券商安全和科技投入需持续加大
AI智能总结
证券公司网络和信息安全三年提升计划 (2023-2025) (征求意见稿) 中国证券业协会2023年1月 目录 一、导语1 二、总体要求2 (一)指导思想2 (二)基本原则2 (三)总体目标3 三、主要任务3 (一)持续提升科技治理水平3 (二)建立科学合理的科技投入机制5 (三)增强信息系统架构规划掌控能力5 (四)强化系统研发测试管理能力8 (五)夯实系统运行保障能力10 (六)健全网络和信息安全防护体系13 四、组织保障18 (一)加强组织领导18 (二)重视人才培养18 (三)完善评估激励19 (四)强化技术规范19 (五)做好安全服务20 (六)积极宣传引导20 五、附件20 一、导语 近年来,在行业数字化加速发展和大数据、云计算、区块链和人工智能等新技术应用不断深入的大背景下,证券公司对网络和信息安全的重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但随着业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。 党的二十大报告提出加快发展数字经济,促进数字经济和实体经济深度融合的重大战略部署。新时代新征程,为证券公司数字化发展指明了方向,对证券公司网络和信息安全能力提出了更高要求。证券公司更需按照新发展阶段的要求,统筹发展与安全,加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险,推动数字赋能行业高质量发展,为服务实体经济做出新贡献。为此,在中国证监会指导下,依据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《证券期货业科技发展“十四五”规划》等法律法规和监管规定,中国证券业协会(以下简称协会)组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计 划》)。 二、总体要求 (一)指导思想 以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,全面落实网络强国、数字中国战略,坚持稳中求进,立足新发展阶段,贯彻新发展理念,统筹发展和安全,有机结合国家金融安全与行业数字化发展,探索安全可靠的数字化新技术、新模式,推进行业网络和信息安全防护能力持续提升,牢牢守住不发生系统性金融风险的底线。 (二)基本原则 --遵循稳健性原则。强化合规风控,严守风险底线,有效防范化解网络和信息技术应用中的各类风险,保障网络和信息系统安全稳定运行。 --遵循系统性原则。强化协同机制,整体规划,促进网络和信息安全与科技创新、信息保护、数据治理等深度融合,系统推进网络和信息系统架构得到有序提升。 --遵循差异性原则。强化专业引领,因事制宜,根据各机构技术特点和专业服务特色,明确网络和信息安全提升重点,建设特色化、专业化、差异化网络和信息安全架构。 --遵循创新性原则。强化创新驱动,科技引领,将创新应用作为数字化发展、网络和信息安全的第一动力,实现业 务创新和技术创新相互带动,整体提升证券服务能力和市场竞争能力。 (三)总体目标 力争到2025年,通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效:行业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。 三、主要任务 (一)持续提升科技治理水平 1.全面完善科技战略发展规划。加强顶层设计,制定全方位的网络和信息科技战略发展规划,明确实施策略和具体路径,确保网络和信息安全领域的全覆盖,并进行动态修订和持续完善。 2.充分发挥科技治理组织作用。进一步健全科技治理架构,加强科技治理组织对网络和信息安全保障工作的主导和统筹,推动网络和信息安全工作逐步由被动防御转变为主动加固和动态保障。在保障主机安全、网络安全和应用安全的基础上,进一步提高科技治理组织在数据安全管理、安全 应急响应等方面的治理能力,提高科技治理组织对重大IT事项决策的科学性和有效性。 3.大力推动信息科技管理体系建设。完善信息系统开 发、测试、运维及信息安全等技术领域的管理体系,持续提高研发效能与软件质量,提升运维管理服务及信息安全管理水平。结合自身实际情况,积极开展与国际、国家以及行业标准化体系的对标工作。 4.增强合规风控内部审查。健全网络和信息安全风险 管理二道防线,增强内部审查力度,全面识别风险、揭示问题,定期组织各防线的内部审查,建立闭环管理机制,确保风险及问题妥当处置。充分发挥合规风控二道防线的监控和督导作用。对业务开展中可能涉及网络和信息安全合规性的事项进行评估和审核,处理好安全、效率与易用性等各类特性的关系。加强信息科技管理相关流程的数字化建设,建立相应的风险监控系统,对业务开展中可能涉及网络和信息安全合规性的事项进行监测和评估,降低信息科技各个环节的操作风险。 5.持续完善供应商管理机制。加强对信息科技服务机 构管理,定期开展供应商评估,对合作供应商的资质、服务质量、响应效率等内容进行评估与审查,持续保障系统和服务的可靠性。加强供应商服务过程管控,依据监管要求做好供应商准入管理;加强供应商项目实施人员的背景调查,严 格管控人员的操作环境权限,做好上岗前的安全教育培训等;强化交付过程中的质量验收、交付后服务支持及时响应与高效解决。 (二)建立科学合理的科技投入机制 1.合理加大科技资金投入。鼓励有条件的公司 2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。持续优化信息科技投入结构,加强研发类、网络和信息安全类以及信创建设等方面的投入,深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设,其中网络和信息安全投入不低于信息科技投入总额的7%。 2.加强科技人才队伍建设。制定人才培养计划,持续 充实专业技术人才队伍,配备充足的信息科技和网络安全等专业人员。建设与业务规模、系统规模及复杂度相匹配的专业化网络和信息安全团队,并持续加强网络和信息安全人才的储备。持续加强核心系统的专业化技术力量,提升核心系统的自主掌控。持续优化科技组织架构和运作模式,使得信息科技从以服务业务为主,逐步转向以赋能和引领业务的发展方向,提升整体核心竞争力。完善安全管理序列与安全技术序列的管理体系,建立健全与行业相适应的人才激励保障和发展机制。提升网络和信息安全的管理与技术实践能力,鼓励开展轻量化安全攻防实验室的建设。 (三)增强信息系统架构规划掌控能力 1.建立及完善系统架构管理机制。建立和落实公司层面的信息系统架构管理制度和流程,包括不限于信息系统架构定义,信息系统建设过程中对应用架构、数据架构、技术架构的设计和评审流程以及架构冲突的处理机制等方面内容。设立专业的信息系统架构管控岗位、团队或联合组织,对公司的信息系统和架构资产进行规划设计及统一管理。 2.建设及健全企业级应用架构。建立企业级通用服务或能力,加强业务一体化服务平台建设。将业务能力组件化、业务功能平台化,提高架构复用性,防止系统的重复建设,并通过复用性的设计提升系统的质量和效率,降低软件开发、系统维护和升级等方面的费用。 3.持续加强数据架构体系治理。建立长期有效的企业级数据规划和发展战略,持续加强企业数据架构治理。建立统一的企业级数据标准,不断提升数据标准化水平,规范数据的识别、确权和分级分类,在数据全生命周期的各阶段建立并落实技术防护能力,将数据安全作为常态化工作。通过动态跟踪、持续改善以及数据全链路的安全风险监控,及时掌握数据管控现状,持续优化数据治理策略。 4.多方位推进技术架构转型升级。加强核心系统的技术攻关,鼓励有条件的证券公司积极推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作。新一代核心 系统实现交易、账户、清算与运营等功能分离,能够快速响应业务需求,满足未来业务发展需要。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型,具备高可用、高性能、低延时、易扩展及松耦合等特性。高可用方面,系统支持多活集群,数据中心内部单个组件发生故障时可实现秒级切换,并实现异地灾备部署,异地灾备可实现分钟级切换;性能和时延方面,系统能保持在较低时延水平的同时,具备高性能的订单持续处理能力;易扩展方面,系统支持通过增加处理节点,实现快速的容量扩充,能够灵活支持新产品和新业务;松耦合方面,系统的单个组件应支持独立部署,功能相对独立,组件内高内聚,组件间松耦合。在云计算和云原生方面,鼓励利用分布式、云原生等先进技术对信息系统进行架构升级,提升系统的健壮性和扩展性。鼓励有条件的证券公司加快信息系统上云,通过云计算平台承载及运行的信息系统比例不低于60%,由容器等云平台承载的云原生系统比例不低于10%。具体实施上,遵循“循序渐进、稳步推进、逐步切换”的原则,制定相应的风险应急预案,将建设风险控制到最低。 5.持续提高核心系统自主掌控能力。发挥信息科技部 门的规划管理能力,熟悉和了解行业发展方向和技术演进线路。与重要供应商之间建立开放和紧密的合作关系,在行业生态健康发展的基础上,积极加强核心系统的自主掌控能 力。鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。对于外购系统,要求厂商提供完整的系统技术资料,并对证券公司技术人员开展全面的专业培训,确保深入掌握系统的技术架构与关键技术环节。鼓励申请企业专利,加强知识产权保护,提升信息系统的整体安全水平,减少对于信息系统的侵权、仿制、破解等风险。行业层面,优化知识管理,进一步提升行业知识共享,运用集体智慧,加强核心系统的自主掌控能力。 (四)强化系统研发测试管理能力 1.建立及完善需求设计及分析机制。参照国际国内标准,全面梳理研发项目生命周期,建立及完善需求设计及分析机制,提升研发效能,增强业务响应效率。持续优化需求设计分析过程,形成能够快速响应市场变化、业务调整、资源冲突等因素的需求设计管理过程。制定信息系统非功能性设计规范、需求设计及分析过程中,对信息系统非功能要求进行充分评审,并推动行业信息科技服务机构加强对非功能性设计的重视。安全管控方面,建立需求提出方与相关业务部门、技术部门、法律和合规部门等协同工作机制,开展功能性及健壮性、安全性等非功能性指标的全面评估。 2.持续提升代码开发效率及安全。通过工具建设与规范制定,全面提升代码开发效率及安全。工具建设方面,建设统一的源代码管理工具和标准化的研发运维一体化工具 平台,实现软件开发、测试全生命周期的标准化管理,进而将安全控制手段嵌入信息系统开发的需求分析、设计、编码、测试、发布和运维等各环节中。规范制定方面,建立标准的安全开发规范,制定软件开发、源代码编写与提交、第三方组件等软件编码的相关规范,加强开发人员权限控制、代码版本管理、开源和第三方组件管理和代码库安全管控。 3.制定并落实信息系统代码审计规范。制定及完善涵 盖自研系统和外购类系统的代码审计规范。自研系统的代码审计,实现全部代码审计100%覆盖。外购系统的代码审计,根据系统交付是否包含源代码,决定是否通过安全代码审计检查或要求供应商提供代码审计报告。 4.全面加强信息系统测试质量管控。组建与系统规模 相匹配的测试人员或团队,设置合理的开发与测试人员,确保产品上线前得到充分有效的测试。建立完备的重要信息系统研发测试管理机制,通过设置单元测试、集成测试和联调测试等环节的质量门禁,科学设计测试方案和用例,加强功能性和安全性等非功能性测试与评估。重要信息系统新上线或较大变更上线前,全面完成测试验收。推进测试左移,在需求评审等阶段提前发现并规避设计缺陷;推进测试右移,完善生产上线过程的管理与上线后的回归验证
