中國證券業(yè)協(xié)會（下稱中證協(xié)）組織起草了《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），并于昨日開始向券商征求意見。

據(jù)悉，《安全提升計劃》是指導(dǎo)2023年至2025年券商提升網(wǎng)絡(luò)與信息安全工作的行動指南，券商可參照實施，并制定配套實施計劃。中證協(xié)將為網(wǎng)絡(luò)和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。

“2022年上半年，證券行業(yè)網(wǎng)絡(luò)安全事件發(fā)生較為頻繁，對資本市場的安全平穩(wěn)運行造成較大沖擊。行業(yè)整體信息技術(shù)投入不足、信息系統(tǒng)架構(gòu)落后、信息技術(shù)管理能力欠缺，已經(jīng)成為長期制約行業(yè)信息系統(tǒng)安全的主要問題。”起草說明稱。

《安全提升計劃》提出，券商應(yīng)建立科學(xué)合理的科技投入機制。一是合理加大科技資金投入，鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。二是加強科技人才隊伍建設(shè)，鼓勵進一步合理增加科技人員投入，配備充足的信息科技和網(wǎng)絡(luò)安全等專業(yè)人才，信息科技專業(yè)人員不低于公司員工總數(shù)的6%，網(wǎng)絡(luò)和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應(yīng)少于4人。

券商要完善移動客戶端應(yīng)用軟件（下稱APP）認證機制。充分認識APP安全檢測認證的重要性，參照行業(yè)APP安全標準要求開發(fā)運營APP，鼓勵委托第三方機構(gòu)開展APP安全認證，及時發(fā)現(xiàn)APP中存在的安全隱患，確保證券公司自營APP在程序開發(fā)、個人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國家及行業(yè)信息安全標準，切實保護投資者個人信息安全。

《安全提升計劃》鼓勵有條件的券商合作研發(fā)或自主研發(fā)安全可控的關(guān)鍵技術(shù)、系統(tǒng)或設(shè)施。對于外購系統(tǒng)，要求廠商提供完整的系統(tǒng)技術(shù)資料， 并對券商技術(shù)人員開展全面的專業(yè)培訓(xùn)，確保深入掌握系統(tǒng)的技術(shù)架構(gòu)與關(guān)鍵技術(shù)環(huán)節(jié)。鼓勵申請企業(yè)專利，加強知識產(chǎn)權(quán)保護，提升信息系統(tǒng)的整體安全水平，減少對于信息系統(tǒng)的侵權(quán)、仿制、破解等風(fēng)險。行業(yè)層面，優(yōu)化知識管理，進一步提升行業(yè)知識共享，運用集體智慧，加強核心系統(tǒng)的自主掌控能力。

中證協(xié)要求，各券商要加強組織領(lǐng)導(dǎo)，同時設(shè)置領(lǐng)導(dǎo)小組，指定一名領(lǐng)導(dǎo)班子成員負責領(lǐng)導(dǎo)小組的具體工作實施，建立健全網(wǎng)絡(luò)和信息安全提升工作機制，通過制定具體的提升計劃和路線圖，明確任務(wù)分工，落實工作責任，保障人力和資金資源投入，以保證貫徹落實網(wǎng)絡(luò)和信息安全提升工作目標要求。

此外，中證協(xié)還將建立券商網(wǎng)絡(luò)和信息安全提升的信息統(tǒng)計機制，推動相關(guān)配套激勵政策落實，為網(wǎng)絡(luò)和信息安全情況納入券商信息科技分類監(jiān)管評級提供公允的參考依據(jù)。

據(jù)了解，《安全提升計劃》主要任務(wù)聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題，從科技治理能力、科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力和網(wǎng)絡(luò)信息安全防護體系等六個方面明確提出提升方向和要求。