证券行业网络和信息安全建设迎来全面检视;中国证券业协会近日下发评估问卷,启动对《证券公司网络和信息安全三年提升计划(2023-2025)》的系统评估,将通过71项具体指标衡量各家券商建设成果。 评估体系科学合理,分为两个层级。其中55项为硬性任务,要求所有券商必须完成;16项为鼓励性任务,为行业先进企业提供自我提升的空间。这种设置既确保基础要求的普遍达成,又留出差异化发展的余地。 科技治理成为核心关注。监管部门对券商提出九项硬性任务,包括完善科技战略规划、健全科技治理架构等。这要求券商将科技治理上升至战略高度,推动科技与业务的深度融合,而不仅仅是技术支撑。 科技投入和人才队伍建设被视为安全防护的基础。评估鼓励券商三年平均信息科技投入达到平均净利润的10%或平均营业收入的7%。同时要求建立完整的人才培养计划,鼓励信息科技专业人员比例达到企业员工总数的7%,信息安全专业人员比例达到科技人员总数的3%且不少于2人。 系统架构的自主掌控能力受到重视。建立系统架构管理机制、推进技术架构转型、提高核心系统自主掌控能力等成为关键考量。这反映了行业在关键核心技术上摆脱依赖、提升自主可控水平的需求。 研发测试的安全标准大幅提升。建立需求分析机制、制定代码审计规范、加强测试质量管控等九项任务全部列为硬性要求。这意味着将安全防护关口前移至系统开发源头,而非仅依赖事后补救。 系统运行和应急响应能力被赋予较高权重。涵盖系统上下线管理、变更风险管控、故障发现、应急响应、容量管理等19项任务。"健全组织级应急响应管理机制"和"完善重要系统数据备份能力"等任务在近年行业多次出现系统宕机的背景下,成为监管重点。 信息安全防护体系涉及21项任务,占比最大。包括等级保护测评、漏洞管控、攻击防控、数据安全管理等内容。其中"持续加强网络安全态势感知和通报预警"以及"加强数据安全管理体系建设"被重点提及,反映出监管部门对主动防御和数据安全的注重。 整体而言,此次评估体系既针对现有问题提出改进,也为行业发展指明方向。在人工智能加速渗透证券行业的当下,加大科技投入和优化架构将为金融科技创新提供坚实基础。
网络与信息安全是资本市场稳定运行的重要保障;对券商来说,评估不是终点,而是将安全能力嵌入治理体系、业务流程和技术架构的新起点。唯有以规则为引导、以能力为核心、以韧性为目标,才能在业务创新与风险防控间实现更高水平的平衡,更好服务资本市场发展。