就在这几天,中国证券业协会给各家证券公司发了个通知,要搞一个关于网络和信息安全的大检查,也就是咱们常说的系统性评估。这事儿实际上是为了检验大家过去三年里在安全建设方面到底干得怎么样。这个计划从2023年就开始了,原本是打算用三年时间来提升行业整体的安全水平,现在算是到了验收成果的时候。 这次评估可不是简单地叫你写个报告交上去,而是要按照之前定好的详细计划,把你们的信息科技安全体系从头到尾地“翻个底朝天”,好看看你们抵御风险的现代化水平到底到哪了。 这个评估的主要框架是跟着2023年初推出的那个《三年提升计划》走的。这个计划的目的很明确,就是让大家用最高标准来要求自己,彻底把网络和信息安全这块的保障能力给强化了。协会这次出的问卷一共列了71项具体任务,而且这些任务还被分成了55项必须得干的“工作任务”和16项鼓励大家去做的“鼓励性任务”。这其实就是监管层既想守住安全底线,又想鼓励大家提前布局、追求卓越的一种态度。 仔细看看这份问卷里写的东西,咱们就能明白监管层心里到底在想啥。首先,科技治理和战略投入这一块儿被看作是整个安全建设的“地基”。问卷里把完善科技战略规划、健全治理架构等9项工作全列为了“硬性”任务,逼着证券公司得把科技治理从部门级别提到公司战略的高度去看。同时,在投入机制上也设了很多具体的指标。比如鼓励你们把信息科技的钱花够——占净利润或者营业收入的比例得达到一定水平;再比如给科技和安全部门的人占比也得提高点儿。大家都明白,钱花到位了,长久的安全能力才能搞起来。 业内的专家也说了,这持续的投入不光是为了合规,更是为了让业务创新起来、让客户用着更舒服、让运营效率提上去、让风险成本降下来。尤其是现在人工智能技术正在搞金融行业的时候,提前做好布局太重要了。 接下来是系统架构自主掌控和研发测试安全闭环这两个“抓手”。在架构掌控上,问卷关注的是怎么建立管理机制、推动技术转型、让核心系统变得自主可控这些事情。研发测试这块儿的安全管理也被看得很重,像需求分析、代码审计、测试管控这些环节全被列成了“硬性”要求。这说明监管思路变了,以前是出了问题再补救,现在是要在系统设计和开发阶段就把安全基因给植进去。 最后是系统运行保障和信息安全防护这两个“重点领域”。在71项任务里有40项都是这两方面的内容。运行保障这边把系统变更管理、故障应急响应、容量性能监控这19个关键环节都涵盖了。像健全应急响应机制和完善数据备份能力这两项,因为最近行业里老是出系统稳定性的问题,考核的时候就显得特别重要。 在信息安全防护层面有21项任务,把等级保护、漏洞管理、攻击防御还有数据安全都管了进来。监管机构现在特别强调要持续加强网络安全态势感知和数据安全管理体系建设。这是因为现在的网络威胁越来越高级、持续时间也长了,而且数据资产现在越来越值钱了。 这次覆盖全行业的大检查既是对过去三年成绩的盘点也是对未来的一次动员。71项指标就像是一份详细的清单一样,既给证券公司提供了自我检查的标准也给整个行业指明了接下来该怎么走的路。等评估结果出来后用起来估计能把金融科技的堤坝筑得更牢实一点。在保障市场平稳运行、保护投资者权益的同时也能更稳当地驾驭金融科技的浪潮去服务实体经济的高质量发展。