证券公司网络和信息安全三年提升计划 (2023-2025) (征求意见稿) 中国证券业协会 2023年1月目录 一、导语......................................................................................1 二、总体要求..............................................................................2 (一)指导思想.....................................................................2 (二)基本原则.....................................................................2 (三)总体目标.....................................................................3 三、主要任务..............................................................................3 (一)持续提升科技治理水平.............................................3 (二)建立科学合理的科技投入机制................................5 (三)增强信息系统架构规划掌控能力............................5 (四)强化系统研发测试管理能力.....................................8 (五)夯实系统运行保障能力...........................................10 (六)健全网络和信息安全防护体系..............................13 四、组织保障............................................................................18 (一)加强组织领导...........................................................18 (二)重视人才培养...........................................................18 (三)完善评估激励...........................................................19 (四)强化技术规范...........................................................19 (五)做好安全服务...........................................................20 (六)积极宣传引导...........................................................20 五、附件....................................................................................201一、导语 近年来,在行业数字化加速发展和大数据、云计算、 区块链和人工智能等新技术应用不断深入的大背景下,证券 公司对网络和信息安全的重视程度大幅提升,组织架构和制 度体系持续优化,信息技术投入逐年增加,行业网络和信息 安全运行态势总体平稳。但随着业务与技术加速融合,网络 和信息安全管理日趋复杂,信息系统建设任务明显增加,上 线变更操作较为频繁,行业网络和信息安全管理能力面临更 大挑战。 党的二十大报告提出加快发展数字经济,促进数字经济 和实体经济深度融合的重大战略部署。新时代新征程,为证 券公司数字化发展指明了方向,对证券公司网络和信息安全 能力提出了更高要求。证券公司更需按照新发展阶段的要 求,统筹发展与安全,加强网络与信息系统安全稳定运行保 障体系和能力建设,提高资本市场网络和信息安全水平,防 范化解网络与信息系统安全风险,推动数字赋能行业高质量 发展,为服务实体经济做出新贡献。为此,在中国证监会指 导下,依据《网络安全法》《数据安全法》《个人信息保护 法》《关键信息基础设施安全保护条例》《证券期货业科技 发展“十四五”规划》等法律法规和监管规定,中国证券业 协会(以下简称协会)组织起草了《证券公司网络和信息安 全三年提升计划(2023-2025)》(以下简称《安全提升计2划》)。 二、总体要求 (一)指导思想 以习近平新时代中国特色社会主义思想为指导,深入贯 彻党的二十大精神,全面落实网络强国、数字中国战略,坚 持稳中求进,立足新发展阶段,贯彻新发展理念,统筹发展 和安全,有机结合国家金融安全与行业数字化发展,探索安 全可靠的数字化新技术、新模式,推进行业网络和信息安全 防护能力持续提升,牢牢守住不发生系统性金融风险的底 线。 (二)基本原则 --遵循稳健性原则。强化合规风控,严守风险底线,有 效防范化解网络和信息技术应用中的各类风险,保障网络和 信息系统安全稳定运行。 --遵循系统性原则。强化协同机制,整体规划,促进网 络和信息安全与科技创新、信息保护、数据治理等深度融合, 系统推进网络和信息系统架构得到有序提升。 --遵循差异性原则。强化专业引领,因事制宜,根据各 机构技术特点和专业服务特色,明确网络和信息安全提升重 点,建设特色化、专业化、差异化网络和信息安全架构。 --遵循创新性原则。强化创新驱动,科技引领,将创新 应用作为数字化发展、网络和信息安全的第一动力,实现业3务创新和技术创新相互带动,整体提升证券服务能力和市场 竞争能力。 (三)总体目标 力争到2025年,通过组织引导证券公司积极落实各项 行动举措,促进证券行业网络和信息安全建设取得扎实成 效:行业人员网络和信息安全意识明显增强,科技治理能力 有效提升,信息系统架构掌控能力全面加强,科技资金投入 和人才培养力度持续加大,网络和信息安全防护体系基本健 全,行业科技创新和数字化转型迈上新的台阶,为行业高质 量发展提供有力支撑,全力支持资本市场改革发展,牢牢守 住不发生系统性网络和信息安全风险的底线。 三、主要任务 (一)持续提升科技治理水平 1.全面完善科技战略发展规划。加强顶层设计,制定 全方位的网络和信息科技战略发展规划,明确实施策略和具 体路径,确保网络和信息安全领域的全覆盖,并进行动态修 订和持续完善。 2.充分发挥科技治理组织作用。进一步健全科技治理 架构,加强科技治理组织对网络和信息安全保障工作的主导 和统筹,推动网络和信息安全工作逐步由被动防御转变为主 动加固和动态保障。在保障主机安全、网络安全和应用安全 的基础上,进一步提高科技治理组织在数据安全管理、安全4应急响应等方面的治理能力,提高科技治理组织对重大IT 事项决策的科学性和有效性。 3.大力推动信息科技管理体系建设。完善信息系统开 发、测试、运维及信息安全等技术领域的管理体系,持续提 高研发效能与软件质量,提升运维管理服务及信息安全管理 水平。结合自身实际情况,积极开展与国际、国家以及行业 标准化体系的对标工作。 4.增强合规风控内部审查。健全网络和信息安全风险 管理二道防线,增强内部审查力度,全面识别风险、揭示问 题,定期组织各防线的内部审查,建立闭环管理机制,确保 风险及问题妥当处置。充分发挥合规风控二道防线的监控和 督导作用。对业务开展中可能涉及网络和信息安全合规性的 事项进行评估和审核,处理好安全、效率与易用性等各类特 性的关系。加强信息科技管理相关流程的数字化建设,建立 相应的风险监控系统,对业务开展中可能涉及网络和信息安 全合规性的事项进行监测和评估,降低信息科技各个环节的 操作风险。 5.持续完善供应商管理机制。加强对信息科技服务机 构管理,定期开展供应商评估,对合作供应商的资质、服务 质量、响应效率等内容进行评估与审查,持续保障系统和服 务的可靠性。加强供应商服务过程管控,依据监管要求做好 供应商准入管理;加强供应商项目实施人员的背景调查,严5格管控人员的操作环境权限,做好上岗前的安全教育培训 等;强化交付过程中的质量验收、交付后服务支持及时响应 与高效解决。 (二)建立科学合理的科技投入机制 1.合理加大科技资金投入。鼓励有条件的公司 2023-2025三个年度信息科技平均投入金额不少于上述三个 年度平均净利润的8%或平均营业收入的6%。持续优化信息 科技投入结构,加强研发类、网络和信息安全类以及信创建 设等方面的投入,深化信息技术架构设计、系统测试、安全 防护、数字化转型能力建设,其中网络和信息安全投入不低 于信息科技投入总额的7%。 2.加强科技人才队伍建设。制定人才培养计划,持续 充实专业技术人才队伍,配备充足的信息科技和网络安全等 专业人员。建设与业务规模、系统规模及复杂度相匹配的专 业化网络和信息安全团队,并持续加强网络和信息安全人才 的储备。持续加强核心系统的专业化技术力量,提升核心系 统的自主掌控。持续优化科技组织架构和运作模式,使得信 息科技从以服务业务为主,逐步转向以赋能和引领业务的发 展方向,提升整体核心竞争力。完善安全管理序列与安全技 术序列的管理体系,建立健全与行业相适应

pdf文档 证券公司网络和信息安全三年提升计划(2023-2025)

文档预览
中文文档 30 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共30页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
证券公司网络和信息安全三年提升计划(2023-2025) 第 1 页 证券公司网络和信息安全三年提升计划(2023-2025) 第 2 页 证券公司网络和信息安全三年提升计划(2023-2025) 第 3 页
下载文档到电脑,方便使用
本文档由 SC 于 2023-03-04 11:18:12上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。