券商网络信息安全启动三年计划圈重点

6 月 9 日，在中国证监会指导下，中国证券业协会（以下简称协会）印发《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》)。

2022 年上半年，证券行业网络安全事件发生较为频繁，对资本市场的安全平稳运行造成较大冲击。行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺，已经成为长期制约行业信息系统安全的主要问题。针对以上情况，《安全提升计划》明确了券商在科技治理能力、科技投入机制、信息系统架构规划设计、系统运行保障能力、系统运行保障能力、网络和信息安全防护体系等方面的六大任务，可以说为券商未来数年的发展指明了方向。

未来三年全面提升证券公司网络和信息安全的总体目标是通过组织引导证券公司积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效：行业从业人员网络和信息安全意识明显增强，科技治理能力有效提升，信息系统架构掌控能力全面加强，科技资金投入和人才培养力度持续加大，网络和信息安全防护体系基本健全，行业科技创新和数字化转型迈上新的台阶，为行业高质量发展提供有力支撑，全力支持资本市场改革发展，牢牢守住不发生系统性网络和信息安全风险的底线。

六大任务 31 项重点任务清单一览

作为未来三年指导券商提升网络与信息安全工作的行动指南，《安全提升计划》遵循了稳健性、系统性、差异性、创新性等基本原则，综合考虑不同年度、不同类型公司、不同基础明确了六大任务含 31 项重点工作内的网络和信息安全提升重点任务清单，便于各券商更清晰明了参照执行。

一、持续提升科技治理水平

主要包含全面完善信息科技战略发展规划、充分发挥科技治理组织作用、大力推动信息科技管理体系建设、健全信息科技风险管理三道防线、持续完善供应商管理机制 5 项任务。

二、建立科学合理的科技投入机制

主要包含合理加大科技资金投入、加强科技人才队伍建设 2 项任务。

三、增强信息系统架构规划掌控能力

主要包含建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级、持续提高核心系统自主掌控能力 5 项任务。

四、强化系统研发测试管理能力

主要包含建立及完善需求设计及分析机制、持续提升代码开发效率及安全、制定并落实信息系统代码审计规范、全面加强信息系统测试质量管控 4 项任务。

五、夯实系统运行保障能力

主要包含加强信息系统上下线管理、全面管控信息系统变更风险、持续提升信息系统故障发现能力、全面提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力 7 项任务。

六、健全信息安全防护体系

主要包含落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安全攻击防控能力、持续加强网络安全态势感知和通报预警、完善移动客户端应用软件认证机制、加强数据安全管理体系建设、持续加强安全意识培训、做好安全全局性建设 8 项任务。

《安全提升计划》正式稿相比征求意见稿要求变化

合理加大科技资金投入

征求意见稿中“平均净利润的 8% 或平均营业收入的 6% ”的比例在正式稿中进一步提升。《安全提升计划》鼓励有条件的证券公司在 2023-2025 三个年度信息科技平均投入金额不少于上述三个年度平均净利润的 10% 或平均营业收入的 7%，并保持稳定的资金投入。并要求持续优化信息科技投入结构，加大研发类、网络和信息安全类以及信创建设等方面的投入，深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设。

加强科技人才队伍建设

征求意见稿中“信息科技专业人员比例至企业员工总数的 6%”提升至 7%。《安全提升计划》要求加强科技人才队伍建设，制定人才培养计划，建立健全人才激励保障和发展机制。建设与业务活动规模、复杂度相匹配的专业化网络和信息安全团队，加强核心系统的专业化技术力量，做好架构师、研发、测试、运维及安全等序列人才储备。持续充实信息科技专业人才队伍，鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的 7%，其中信息安全专业人员比例至信息科技专业人员总数的 3% 并且不少于 2 人。

重点强调安全风险管控能力的加强与提升

相比征求意见稿，正式稿重点强调证券行业安全风险管控能力的加强与提升，除了在“夯实系统运行保障能力”、“健全信息安全防护体系”方面提出更细致全面的要求以外，还具体新增了以下要求：

• 新增对于风险管理第三道防线的要求；

• 提升对信息系统高可用性要求，要求从“数据中心内部单个组件发生故障时可实现秒级切换，并实现异地灾备部署，异地灾备可实现分钟级切换”提高至“数据中心内部单个物理设备故障不影响集群高可用，集群整体故障可实现秒级同城灾备切换或分钟级异地灾备切换”；

• 新增加强对个人投资者信息安全管理、跨境相关数据安全管理相关要求。

要求将数据安全作为常态化工作

《安全提升计划》要求证券行业建立长期有效的企业级数据规划和发展战略，持续加强企业数据架构治理。建立统一的企业级数据标准，不断提升数据标准化水平，规范数据的识别、确权和分级分类，在数据全生命周期的各阶段建立并落实技术防护能力，将数据安全作为常态化工作。通过动态跟踪、持续改善以及数据全链路的安全风险监控，及时掌握数据管控现状，持续优化数据治理策略。具体要求如下：

1. 建立个人信息保护制度体系，明确工作职责，规范工作流程，加强对公司及外部合作机构管理。贯彻落实国家法律法规和行业监管要求，加强数据安全管理体系建设，在明确数据权责的基础上，对数据进行分类分级，并以数据全生命周期安全防护要求为重点，构建目标明确、职责清晰、层次分明、落地性强的制度规范。
   

2. 重点加强静态和动态数据资产的精确识别，围绕数据采集、传输、存储、加工、共享、删除、销毁等数据处理各环节，以精细化数据识别和权限管控、全链路数据流转刻画和动态监测、场景化数据加密和脱敏为核心内容，构建覆盖终端、边界、网络、服务器、数据库和应用系统的纵深安全管控能力。充分隔离生产环境与开发测试环境数据，对不同环境数据的交互和使用实施严格管控。
   

3. 重点规范核心数据、重要数据和投资者个人信息的有效识别、重点保护和安全使用，根据“依法合规、最小必要”原则，建立全面的数据安全监控能力及历史数据安全清理能力，具备多重身份认证能力，对于有权访问数据资产的用户，能够综合采用口令、密码技术、生物技术等信息识别用户身份，并基于角色进行用户访问控制，所有授权操作均符合最小授权原则，所有用户授权有记录。
   

4. 严格遵照法律法规要求对核心数据、重要数据处理活动进行风险评估，开展有效的个人信息保护影响评估，规范投资者个人信息处理活动，建立健全数据全生命周期的安全管理长效机制和防护措施。
   

5. 具有跨境相关业务与应用场景的证券公司，要严格落实国家法律法规和监管部门关于数据安全的各项管理规定，重点加强核心数据、重要数据及个人信息等的安全管理，认真组织开展数据安全评估，确保数据安全。

结语

为推动《安全提升计划》贯彻落实，中国证券业协会将加强对证券行业网络和信息安全提升工作的督导，通过推动各公司加强组织领导、重视人才培养、完善评估激励、强化制度供给、做好安全服务、加强培训交流和总结推广示范实践等方式，引导行业对标提升，构建良好的证券科技生态。

证券行业在业务展开的过程中会直接或间接收集大量的投资者个人信息，包括银行账户、人脸照片等敏感个人信息，个人信息处理行为的合规性是证券行业开展数据安全保护工作的首要合规要点。

高效的数据安全管理工作对券商网络信息安全三年计划的落地十分重要。作为一家企业级一体化数据安全平台产品与服务提供商，原点安全核心团队在网络安全行业深耕十余年，拥有丰富的安全产品技术和企业客户服务经验，具备支撑证券机构开展《安全提升计划》落地工作的能力。在新型数据安全产品愈加复杂多样、迭代频繁的今天，原点安全一体化的数据安全平台 uDSP 能够保障数据安全团队的整体效能，有效助力券商数据安全管理工作化繁为简。