中国证券业协会发布《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)
发布时间 2023-01-31随着证券公司业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。2022上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。
在此背景下,2023年1月,中国证券业协会发布《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)(以下简称《三年提升计划》)。
《三年提升计划》共计5章20条,提出33项重点工作,聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
《三年提升计划》鼓励进一步合理加大科技资金投入,有条件的公司2023~2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%,其中网络和信息安全投入不低于信息科技投入的7%。
证券公司应制定人才培养计划,鼓励进一步合理增加科技人员投入,持续充实专业技术人才队伍,配备充足的信息科技和网络安全等专业人才,信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
《三年提升计划》提出稳健性(强化合规风控,严守风险底线)、系统性(强化协同机制,整体规划)、差异性(明确网络和信息安全提升重点)、创新性(将创新应用作为数字化发展、网络和信息安全的第一动力)四大原则。