中国基金报记者1月6日从业内获悉,各证券公司收到了由中国证券业协会下发的《网络和信息安全三年提升计划(2023-2025)(征求意见稿)》(下称《安全提升计划》),作为指导 2023 年- 2025 年证券公司提升网络与信息安全工作的行动指南。

  据介绍,此举为推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平。此消息一经放出,1月6日午后金融科技概念股闻风大涨。

  中证协在编制说明中指出,主要任务是聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。

  综合考虑到不同年度、不同类型公司、不同基础,《安全提升计划》将重点事项分解为33项重点工作,以便各公司更清晰明了参照执行。

  ――一起来看详情。

  六个主要任务

  《安全提升计划》显示,力争到 2025 年,通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效。

  第一个主要任务是持续提升科技治理水平。具体来看,包括全面完善科技战略发展规划、充分发挥科技治理组织作用、大力推动信息科技管理体系建设、增强合规风控内部审查和持续完善供应商管理机制五个要点。

  在增强合规风控内部审查方面,需要各公司健全网络和信息安全风险管理二道防线,增强内部审查力度,全面识别风险、揭示问题,定期组织各防线的内部审查,建立闭环管理机制,确保风险及问题妥当处置。

  第二个主要任务是建立科学合理的科技投入机制,涉及合理加大科技资金投入和加强科技人才队伍建设两个方面。中证协鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%,还应制定人才培养计划,持续充实专业技术人才队伍,配备充足的信息科技和网络安全等专业人员。

  主要任务之三是增强信息系统架构规划掌控能力,重点提到建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级和持续提高核心系统自主掌控能力五个板块。

  中证协鼓励有条件的证券公司积极推进新一代核心系统的建设,开展核心系统技术架构的转型升级工作;鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。

  主要任务的第四点是强化系统研发测试管理能力,各公司在制定并落实信息系统代码审计规范方面,要制定及完善涵盖自研系统和外购类系统的代码审计规范。自研系统的代码审计,实现全部代码审计100%覆盖。此外,在与第三方合作时,公司应建立及完善合规管控机制,包括责任部门、合作方案的合规性、风控制能力、可行性等。

  在第五个任务――夯实系统运行保障能力中,值得注意的是,要提升信息系统故障发现能力和全面提高事件预警及处置效率,中证协鼓励有条件的证券公司建设和提升应急处置预案的自动化能力,提高故障研判和快速处置效率,提升故障自愈能力等。

  最后一个主要任务是健全网络和信息安全防护体系,包括深化漏洞全生命周期管控、完善移动应用客户端应用软件认证机制和持续加强网络安全态势感知和通报预警等多项重点内容。

  《安全提升计划》在APP安全检测认证的重要性中提到,鼓励证券公司委托第三方机构开展 App 安全认证,及时发现App中存在的安全隐患,确保证券公司自营 App 在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准,切实保护投资者个人信息安全。

  此前多家机构因信息系统安全问题被监管通报

  2022年5月,证监会在给各机构下发的《机构监管情况通报》中提到,多家证券基金经营机构发生信息系统安全事件,影响投资者正常交易,给行业声誉造成负面影响。监管部门将依法开展调查工作,严肃处理相关机构及责任人员。

  上述通报直指证券基金机构在信息系统方面存在的五大问题:

  一是个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节。

  二是主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构。

  三是运维人员操作规范性不足,未能建立有效的权限管理及复核机制。

  四是移动APP开发管理存在短板,已成为信息系统安全事件易发领域。

  五是安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。

  《机构监管情况通报》中特别提及,招商证券(行情600999,诊股)在2022年3月14日和5月16日的周末系统升级过程中,测试场景尤其压力测试不够充分,导致交易系统接连两次发生信息系统安全事件。

  招商证券当时针对监管处罚的回应是,公司将以此为鉴、积极整改,全面提升系统的稳定性和安全性,为客户提供更好的交易体验。

  通报还提到,2021年5月18日,首创证券(行情601136,诊股)的上交所报盘程序发生故障,事故原因为软件服务商工程师对部署在同一服务器上的资管系统升级时,升级包存在逻辑错误。

  2022年2月中,还有3家基金管理公司接连出现由于感染病毒或爬虫程序导致官网无法访问的网络安全事件。

  金融科技概念股“闻风大涨”

  顶点软件(行情603383,诊股)直线拉升触板

  上述《安全提升计划》消息放出后,1月6日午后金融科技概念股大涨,顶点软件午后直线拉升触板,财富趋势(行情688318,诊股)、大智慧(行情601519,诊股)、恒生电子(行情600570,诊股)、指南针(行情300803,诊股)、金证股份(行情600446,诊股)和麦迪科技(行情603990,诊股)等纷纷跟涨。

  资料显示,顶点软件是一家专业化平台型软件及信息化服务提供商,致力于利用自主研发的“灵动业务架构平台(LiveBOS)”,为包括证券、期货、银行、电子交易市场等在内的金融行业及其他行业提供以业务流程管理(BPM)为核心、以“互联网+”应用为重点方向的信息化解决方案。

  金证股份也在午盘出现直线拉升,截至1月6日收盘,金证股份报11.11元/每股,总市值为104.52亿元。