随着《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》)实施收官,针对证券行业网络和信息安全的“全面体检”正式启动。
2月4日,《证券日报》记者从多家券商处获悉,根据监管部门关于做好总结评估工作的要求,中国证券业协会已向各家券商下发总结评估问卷,拟开展“证券公司网络和信息安全三年提升计划(2023-2025)总结评估调研”工作(以下简称“调研”)。这意味着,过去三年行业在科技安全领域的投入与建设成果,将迎来一次基于71项具体指标的“大考”。
细化为71项具体任务
据了解,此次调研聚焦《安全提升计划》的六大核心领域,包括持续提升科技治理水平、建立科学合理的科技投入机制、增强信息系统架构规划掌控能力、强化系统研发测试管理能力、夯实系统运行保障能力、健全信息安全防护体系,并将其细化为71项具体任务。
值得关注的是,这71项任务被明确划分为“工作任务”与“鼓励性任务”两大类。其中,有55项为“硬性”工作任务,16项为鼓励性任务。总体来看,从顶层设计的科技治理架构,到具体的研发测试流程管理,再到底层的运行保障与安全防护,问卷覆盖了券商信息系统全生命周期的关键节点。
在科技治理层面,问卷对券商顶层设计提出了明确要求,包括完善科技战略发展规划、健全科技治理架构等9项任务全部列为“硬性”工作任务。这意味着券商的科技治理需上升至公司战略高度,实现科技与业务的深度融合与协同发展。
科技投入作为安全建设的“源头活水”,也是此次调研的重点关注领域,问卷设置了清晰且具有引导性的量化指标。除了“是否制定了人才培养计划”这1项“硬性”工作任务外,还设置了4项鼓励性任务,例如“2023年至2025年三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7%”“提升信息科技专业人员比例至企业员工总数的7%,信息安全专业人员比例提升至信息科技专业人员总数的3%并且不少于2人”是其中两大任务。
国泰海通证券计算机行业首席分析师杨林表示:“券商信息技术的持续投入对改善客户体验、推动业务发展、提升经营效率、降低风险成本的支撑和引领作用日益显现,券商加大信息技术投入、加强金融科技赋能已成为行业共识。尤其2025年以来,人工智能正在引发证券行业底层技术架构的革新,有望引领券商新一轮科技投入浪潮。”
40项任务涉及两大方向
如果说科技投入是安全建设的基础,那么架构掌控与研发管理则是安全的核心抓手。在增强信息系统架构规划掌控能力一项中,建立及完善系统架构管理机制、推进技术架构转型、提高核心系统自主掌控能力等8项任务(含4项工作任务、4项鼓励性任务)获重点关注。同时,研发测试环节的安全权重被大幅提升,建立需求设计分析机制、制定代码审计规范、加强测试质量管控等9项任务全部被列为“硬性”工作任务。
记者注意到,在71项任务中,“夯实系统运行保障能力”与“健全信息安全防护体系”两大方向合计涉及40项具体任务,成为此次评估的重点。
在运行保障方面,问卷涵盖了从系统上下线管理、变更风险管控到故障发现、应急响应、容量性能管理等19项任务。特别是“健全组织级应急响应管理机制”和“完善重要信息系统数据备份能力”这两项任务,在近年来行业内多次发生系统宕机事件后,被赋予了较高的考核权重。
在健全信息安全防护体系上,问卷设置了21项具体任务,其中12项为“硬性”工作任务、7项为鼓励性任务,涵盖落实等级保护测评、深化漏洞管控、提升攻击防控能力、加强数据安全管理等核心内容。值得注意的是,“持续加强网络安全态势感知和通报预警”以及“加强数据安全管理体系建设”这两项任务被重点提及,显示出监管部门对数据要素安全和主动防御能力的高度重视。
(文章来源:证券日报)
