证券公司网络和信息安全三年提升计划（2023-2025）

证券公司网络和信息安全三年提升计划（2023-2025） 目录 一、导语.........................................1 二、总体要求.....................................2 （一）指导思想.................................2（二）基本原则.................................2（三）总体目标.................................3 三、主要任务.....................................3 （一）持续提升科技治理水平.....................3（二）建立科学合理的科技投入机制...............4（三）增强信息系统架构规划掌控能力.............5（四）强化系统研发测试管理能力.................7（五）夯实系统运行保障能力.....................9（六）健全信息安全防护体系....................13 四、组织保障....................................17 （一）加强组织领导............................17（二）重视人才培养............................17（三）完善评估激励............................18（四）强化制度供给............................18（五）做好安全服务............................18（六）积极宣传引导............................19 一、导语 近年来，在行业数字化加速发展和大数据、云计算、区块链和人工智能等新技术应用不断深入的大背景下，证券公司对网络和信息安全的重视程度大幅提升，组织架构和制度体系持续优化，信息技术投入逐年增加，行业网络和信息安全运行态势总体平稳。但随着业务与技术加速融合，网络和信息安全管理日趋复杂，信息系统建设任务明显增加，上线变更操作较为频繁，行业网络和信息安全管理能力面临更大挑战。 党的二十大报告提出加快发展数字经济，促进数字经济和实体经济深度融合的重大战略部署。新时代新征程，为证券公司数字化发展指明了方向，对证券公司网络和信息安全能力提出了更高要求。证券公司更需按照新发展阶段的要求，统筹发展与安全，加强网络与信息系统安全稳定运行保障体系和能力建设，提高资本市场网络和信息安全水平，防范化解网络与信息系统安全风险，推动数字赋能行业高质量发展，为服务实体经济做出新贡献。为此，在中国证监会指导下，依据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《证券期货业网络和信息安全管理办法》《证券期货业科技发展“十四五”规划》等法律法规、监管规定和行业规划，中国证券业协会（以下简称协会）组织起草了《证券公司网络和信息安全三年提升计划（2023- 2025）》（以下简称《安全提升计划》）。 二、总体要求 （一）指导思想 以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大精神，全面落实网络强国、数字中国战略，坚持稳中求进，立足新发展阶段，贯彻新发展理念，统筹发展和安全，有机结合国家金融安全与行业数字化发展，探索安全可靠的数字化新技术、新模式，推进行业网络和信息安全防护能力持续提升，牢牢守住不发生系统性金融风险的底线。 （二）基本原则 --遵循稳健性原则。强化合规风控，严守风险底线，有效防范化解网络和信息技术应用中的各类风险，保障网络和信息系统安全稳定运行。 --遵循系统性原则。强化协同机制，整体规划，促进网络和信息安全与科技创新、信息保护、数据治理等深度融合，系统推进网络和信息系统架构得到有序提升。 --遵循差异性原则。强化专业引领，因司制宜，根据各机构技术特点和专业服务特色，明确网络和信息安全提升重点，建设特色化、专业化、差异化网络和信息安全架构。 --遵循创新性原则。强化创新驱动，科技赋能，将创新应用作为数字化发展、网络和信息安全的第一动力，实现业务创新和技术创新相互带动，整体提升证券服务能力和市场 竞争能力。 （三）总体目标 力争到2025年，通过组织引导证券公司积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效：行业从业人员网络和信息安全意识明显增强，科技治理能力有效提升，信息系统架构掌控能力全面加强，科技资金投入和人才培养力度持续加大，网络和信息安全防护体系基本健全，行业科技创新和数字化转型迈上新的台阶，为行业高质量发展提供有力支撑，全力支持资本市场改革发展，牢牢守住不发生系统性网络和信息安全风险的底线。 三、主要任务 （一）持续提升科技治理水平 1．全面完善信息科技战略发展规划。加强顶层设计，制定信息科技战略发展规划，明确实施策略和具体路径，涵盖网络和信息安全领域，并进行动态修订和持续完善。 2．充分发挥科技治理组织作用。进一步健全科技治理架构，加强科技治理组织对网络和信息安全保障工作的主导和统筹，推动网络和信息安全工作逐步由被动防御转变为主动加固和动态保障。在保障主机安全、网络安全和应用安全的基础上，进一步提高科技治理组织在数据安全管理、安全应急响应等方面的治理能力，提高科技治理组织对重大信息技术事项决策的科学性和有效性。 3．大力推动信息科技管理体系建设。健全网络和信息安全管理制度体系，筹划、建立和完善信息系统开发、测试、运维及信息安全等技术领域的管理体系，持续提高研发效能与软件质量，提升运维管理服务及信息安全管理水平。结合自身实际情况，积极开展与国际、国家以及行业标准化体系的对标工作。 4．健全信息科技风险管理三道防线。充分发挥信息技术、合规风控、稽核审计三道防线的监控和督导作用，全面识别风险、揭示问题，定期组织各防线的内部检查、风险评估与审计，建立风险及问题闭环管理机制，确保风险及问题妥当处置。建立相应的信息科技风险监控机制，对业务开展中可能涉及网络和信息安全风险事项进行监测和评估，降低信息科技操作风险。 5．持续完善供应商管理机制。定期开展供应商评估，对合作供应商的资质、服务质量等内容进行评估与审查，持续保障系统和服务的可靠性。加强供应商服务过程管控，依据监管要求做好供应商准入管理；加强供应商项目实施人员的背景调查，严格管控人员的操作环境权限，做好上岗前的安全教育培训等；强化交付过程中的质量验收、交付后服务支持及时响应与高效解决。 （二）建立科学合理的科技投入机制 1．合理加大科技资金投入。鼓励有条件的证券公司在 2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的10%或平均营业收入的7%，并保持稳定的资金投入。持续优化信息科技投入结构，加大研发类、网络和信息安全类以及信创建设等方面的投入，深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设。 2．加强科技人才队伍建设。制定人才培养计划，建立健全人才激励保障和发展机制。建设与业务活动规模、复杂度相匹配的专业化网络和信息安全团队，加强核心系统的专业化技术力量，做好架构师、研发、测试、运维及安全等序列人才储备。持续充实信息科技专业人才队伍，鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%，其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人。 （三）增强信息系统架构规划掌控能力 1．建立及完善系统架构管理机制。建立和落实公司层面的信息系统架构管理制度和流程，包括不限于信息系统架构定义，信息系统建设过程中对应用架构、数据架构、技术架构的设计和评审流程以及架构冲突的处理机制等方面内容。加强开源软件治理，防范安全风险。设立专业的信息系统架构管控角色、岗位、团队或联合组织，对公司的信息系统和架构资产进行规划设计及统一管理。 2．建设及健全企业级应用架构。建立企业级通用服务或 能力，加强业务一体化服务平台建设。将业务能力组件化、业务功能平台化，提高架构复用性，并通过复用性的设计提升系统的质量和效率，降低软件开发、系统维护和升级等方面的费用。 3．持续加强数据架构体系治理。建立长期有效的企业级数据规划和发展战略，持续加强企业数据架构治理。建立统一的企业级数据标准，不断提升数据标准化水平，规范数据的识别、确权和分级分类，在数据全生命周期的各阶段建立并落实技术防护能力，将数据安全作为常态化工作。通过动态跟踪、持续改善以及数据全链路的安全风险监控，及时掌握数据管控现状，持续优化数据治理策略。 4．多方位推进技术架构转型升级。加强核心系统的技术攻关，鼓励有条件的证券公司积极推进新一代核心系统的建设，根据不同客户群开展核心系统技术架构的转型升级工作。新一代核心系统实现交易、账户、清算与运营等功能分离，能够快速响应业务需求，满足未来业务发展需要。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型，具备高可用、高性能、低时延、易扩展及松耦合等特性。高可用方面，系统支持集群和多活容灾部署，数据中心内部单个物理设备故障不影响集群高可用，集群整体故障可实现秒级同城灾备切换或分钟级异地灾备切换；性能和时延方面，系统能保持在较低时延水平的同时，具备高性能的订单持续 处理能力；易扩展方面，系统支持通过增加处理节点，实现快速的容量扩充，能够灵活支持新产品和新业务；松耦合方面，系统的单个组件支持独立部署，功能相对独立，组件内高内聚，组件间松耦合。在云平台方面，鼓励利用分布式、云原生等先进技术对信息系统进行架构升级，提升系统的健壮性和扩展性。鼓励有条件的证券公司加快信息系统在私有云与行业云部署，提升系统云化比例。具体实施上，遵循“循序渐进、稳步推进、逐步切换”的原则，制定相应的风险应急预案，控制系统建设风险。 5．持续提高核心系统自主掌控能力。发挥信息科技部门的规划管理能力，熟悉和了解行业发展方向和技术演进线路。与重要供应商之间建立开放和紧密的合作关系，在行业生态健康发展的基础上，积极加强核心系统的自主掌控能力。鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。对于外购系统，要求厂商提供完整的系统技术资料，并对证券公司技术人员开展全面的专业培训，确保深入掌握系统的技术架构与关键技术环节。鼓励申请企业专利，加强知识产权保护，提升信息系统的整体安全水平，减少对于信息系统的侵权、仿制、破解等风险。 （四）强化系统研发测试管理能力 1．建立及完善需求设计及分析机制。参照国际国内标准，全面梳理研发项目生命周期，建立及完善需求设计及分析机 制，提升研发效能，增强业务响应效率。持续优化需求设计分析过程，形成能够快速响应市场变化、业务调整、资源冲突等因素的需求设计管理过程。制定信息系统非功能性设计规范、需求设计及分析过程中，对信息系统非功能要求进行充分评审，并推动供应商加强对非功能性设计的重视。安全管控方面，建立需求提出方与相关业务部门、信息技术部门、法律、合规及风控部门等协同工作机制，开展功能性及可用性、性能、时延、安全性等非功能性指标的全面评估。 2．持续提升代码开发效率及安全。通过工具建设与规范制定，全面提升代码开发效率及安全。工具建设方面，建设统一的源代码管理工具和标准化的研发运维一体化工具平台，实现软件开发、测试全生命周期的标准化管理，进而将安全控制手段嵌入信息系统开发的需求分析、设计、编码、测试、发布和运维等各环节中。规范制定方面，建立标准的安全开发规范，制定软件开发、源代码编写与提交、第三方组件等软件编码的相关规范，加强开发人员权限控制、代码版本管理、开源和第三方组件管理和代码库安全管控。 3．制定并落实信息系统代码审计规范。制定并完善涵盖自研系统和外购系统的代码审计规范。自研系统实现自研代码审计全覆盖。外购系统根据系统交付是否包含源代