中國證券業協會發布《證券公司網絡和信息安全三年提升計劃(2023-2025)》(征求意見稿)
發布時間 2023-01-31隨著證券公司業務與技術加速融合,網絡和信息安全管理日趨復雜,信息系統建設任務明顯增加,上線變更操作較為頻繁,行業網絡和信息安全管理能力面臨更大挑戰。2022上半年,證券行業網絡安全事件發生較為頻繁,對資本市場的安全平穩運行造成較大沖擊。
在此背景下,2023年1月,中國證券業協會發布《證券公司網絡和信息安全三年提升計劃(2023-2025)》(征求意見稿)(以下簡稱《三年提升計劃》)。
《三年提升計劃》共計5章20條,提出33項重點工作,聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題,從科技治理能力、科技投入機制、信息系統架構規劃設計、研發測試效能與質量、系統運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。
《三年提升計劃》鼓勵進一步合理加大科技資金投入,有條件的公司2023~2025三個年度信息科技投入平均金額不少于上述三個年度平均凈利潤的8%或平均營業收入的6%,其中網絡和信息安全投入不低于信息科技投入的7%。
證券公司應制定人才培養計劃,鼓勵進一步合理增加科技人員投入,持續充實專業技術人才隊伍,配備充足的信息科技和網絡安全等專業人才,信息科技專業人員不低于公司員工總數的6%,網絡和信息安全專業人員不低于信息科技專業人員的3%且不應少于4人。
《三年提升計劃》提出穩健性(強化合規風控,嚴守風險底線)、系統性(強化協同機制,整體規劃)、差異性(明確網絡和信息安全提升重點)、創新性(將創新應用作為數字化發展、網絡和信息安全的第一動力)四大原則。
