本報(bào)記者 周尚伃
隨著《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)》(以下簡(jiǎn)稱《安全提升計(jì)劃》)實(shí)施收官,針對(duì)證券行業(yè)網(wǎng)絡(luò)和信息安全的“全面體檢”正式啟動(dòng)�����。
2月4日��,《證券日?qǐng)?bào)》記者從多家券商處獲悉�����,根據(jù)監(jiān)管部門(mén)關(guān)于做好總結(jié)評(píng)估工作的要求,中國(guó)證券業(yè)協(xié)會(huì)已向各家券商下發(fā)總結(jié)評(píng)估問(wèn)卷�,擬開(kāi)展“證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023-2025)總結(jié)評(píng)估調(diào)研”工作(以下簡(jiǎn)稱“調(diào)研”)�。這意味著,過(guò)去三年行業(yè)在科技安全領(lǐng)域的投入與建設(shè)成果�����,將迎來(lái)一次基于71項(xiàng)具體指標(biāo)的“大考”����。
細(xì)化為71項(xiàng)具體任務(wù)
據(jù)了解,此次調(diào)研聚焦《安全提升計(jì)劃》的六大核心領(lǐng)域���,包括持續(xù)提升科技治理水平、建立科學(xué)合理的科技投入機(jī)制�����、增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力�����、強(qiáng)化系統(tǒng)研發(fā)測(cè)試管理能力�����、夯實(shí)系統(tǒng)運(yùn)行保障能力����、健全信息安全防護(hù)體系,并將其細(xì)化為71項(xiàng)具體任務(wù)���。
值得關(guān)注的是���,這71項(xiàng)任務(wù)被明確劃分為“工作任務(wù)”與“鼓勵(lì)性任務(wù)”兩大類��。其中���,有55項(xiàng)為“硬性”工作任務(wù),16項(xiàng)為鼓勵(lì)性任務(wù)�??傮w來(lái)看,從頂層設(shè)計(jì)的科技治理架構(gòu)����,到具體的研發(fā)測(cè)試流程管理,再到底層的運(yùn)行保障與安全防護(hù)����,問(wèn)卷覆蓋了券商信息系統(tǒng)全生命周期的關(guān)鍵節(jié)點(diǎn)����。
在科技治理層面,問(wèn)卷對(duì)券商頂層設(shè)計(jì)提出了明確要求�,包括完善科技戰(zhàn)略發(fā)展規(guī)劃、健全科技治理架構(gòu)等9項(xiàng)任務(wù)全部列為“硬性”工作任務(wù)���。這意味著券商的科技治理需上升至公司戰(zhàn)略高度�����,實(shí)現(xiàn)科技與業(yè)務(wù)的深度融合與協(xié)同發(fā)展��。
科技投入作為安全建設(shè)的“源頭活水”�,也是此次調(diào)研的重點(diǎn)關(guān)注領(lǐng)域,問(wèn)卷設(shè)置了清晰且具有引導(dǎo)性的量化指標(biāo)���。除了“是否制定了人才培養(yǎng)計(jì)劃”這1項(xiàng)“硬性”工作任務(wù)外����,還設(shè)置了4項(xiàng)鼓勵(lì)性任務(wù)���,例如“2023年至2025年三個(gè)年度信息科技投入平均金額不少于上述三個(gè)年度平均凈利潤(rùn)的10%或平均營(yíng)業(yè)收入的7%”“提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%��,信息安全專業(yè)人員比例提升至信息科技專業(yè)人員總數(shù)的3%并且不少于2人”是其中兩大任務(wù)���。
國(guó)泰海通證券計(jì)算機(jī)行業(yè)首席分析師楊林表示:“券商信息技術(shù)的持續(xù)投入對(duì)改善客戶體驗(yàn)、推動(dòng)業(yè)務(wù)發(fā)展����、提升經(jīng)營(yíng)效率、降低風(fēng)險(xiǎn)成本的支撐和引領(lǐng)作用日益顯現(xiàn)���,券商加大信息技術(shù)投入���、加強(qiáng)金融科技賦能已成為行業(yè)共識(shí)�。尤其2025年以來(lái)��,人工智能正在引發(fā)證券行業(yè)底層技術(shù)架構(gòu)的革新��,有望引領(lǐng)券商新一輪科技投入浪潮�����。”
40項(xiàng)任務(wù)涉及兩大方向
如果說(shuō)科技投入是安全建設(shè)的基礎(chǔ)�����,那么架構(gòu)掌控與研發(fā)管理則是安全的核心抓手����。在增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力一項(xiàng)中�,建立及完善系統(tǒng)架構(gòu)管理機(jī)制、推進(jìn)技術(shù)架構(gòu)轉(zhuǎn)型���、提高核心系統(tǒng)自主掌控能力等8項(xiàng)任務(wù)(含4項(xiàng)工作任務(wù)�����、4項(xiàng)鼓勵(lì)性任務(wù))獲重點(diǎn)關(guān)注�。同時(shí),研發(fā)測(cè)試環(huán)節(jié)的安全權(quán)重被大幅提升����,建立需求設(shè)計(jì)分析機(jī)制、制定代碼審計(jì)規(guī)范����、加強(qiáng)測(cè)試質(zhì)量管控等9項(xiàng)任務(wù)全部被列為“硬性”工作任務(wù)。
記者注意到�����,在71項(xiàng)任務(wù)中���,“夯實(shí)系統(tǒng)運(yùn)行保障能力”與“健全信息安全防護(hù)體系”兩大方向合計(jì)涉及40項(xiàng)具體任務(wù)��,成為此次評(píng)估的重點(diǎn)�����。
在運(yùn)行保障方面��,問(wèn)卷涵蓋了從系統(tǒng)上下線管理�����、變更風(fēng)險(xiǎn)管控到故障發(fā)現(xiàn)�����、應(yīng)急響應(yīng)�����、容量性能管理等19項(xiàng)任務(wù)����。特別是“健全組織級(jí)應(yīng)急響應(yīng)管理機(jī)制”和“完善重要信息系統(tǒng)數(shù)據(jù)備份能力”這兩項(xiàng)任務(wù)�����,在近年來(lái)行業(yè)內(nèi)多次發(fā)生系統(tǒng)宕機(jī)事件后�,被賦予了較高的考核權(quán)重。
在健全信息安全防護(hù)體系上����,問(wèn)卷設(shè)置了21項(xiàng)具體任務(wù)�,其中12項(xiàng)為“硬性”工作任務(wù)��、7項(xiàng)為鼓勵(lì)性任務(wù)�,涵蓋落實(shí)等級(jí)保護(hù)測(cè)評(píng)、深化漏洞管控�、提升攻擊防控能力、加強(qiáng)數(shù)據(jù)安全管理等核心內(nèi)容����。值得注意的是,“持續(xù)加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和通報(bào)預(yù)警”以及“加強(qiáng)數(shù)據(jù)安全管理體系建設(shè)”這兩項(xiàng)任務(wù)被重點(diǎn)提及���,顯示出監(jiān)管部門(mén)對(duì)數(shù)據(jù)要素安全和主動(dòng)防御能力的高度重視��。
京公網(wǎng)安備 11010602201377號(hào)京ICP備19002521號(hào)