證券時報記者 許盈 劉藝文

    證券時報記者獲悉，中國證券業協會（下稱中證協）組織起草了《證券公司網絡和信息安全三年提升計劃（2023-2025）》（下稱《安全提升計劃》），并于昨日開始向券商征求意見。

    據悉，《安全提升計劃》是指導2023年至2025年券商提升網絡與信息安全工作的行動指南，券商可參照實施，并制定配套實施計劃。中證協將為網絡和信息安全情況納入券商信息科技分類監管評級提供公允的參考依據。

    “2022年上半年，證券行業網絡安全事件發生較為頻繁，對資本市場的安全平穩運行造成較大沖擊。行業整體信息技術投入不足、信息系統架構落后、信息技術管理能力欠缺，已經成為長期制約行業信息系統安全的主要問題。”起草說明稱。

    《安全提升計劃》提出，券商應建立科學合理的科技投入機制。一是合理加大科技資金投入，鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業收入的6%。二是加強科技人才隊伍建設，鼓勵進一步合理增加科技人員投入，配備充足的信息科技和網絡安全等專業人才，信息科技專業人員不低于公司員工總數的6%，網絡和信息安全專業人員不低于信息科技專業人員的3%且不應少于4人。

    券商要完善移動客戶端應用軟件（下稱APP）認證機制。充分認識APP安全檢測認證的重要性，參照行業APP安全標準要求開發運營APP，鼓勵委托第三方機構開展APP安全認證，及時發現APP中存在的安全隱患，確保證券公司自營APP在程序開發、個人信息處理、數據安全、密碼應用、安全管理等方面符合國家及行業信息安全標準，切實保護投資者個人信息安全。

    《安全提升計劃》鼓勵有條件的券商合作研發或自主研發安全可控的關鍵技術、系統或設施。對于外購系統，要求廠商提供完整的系統技術資料，并對券商技術人員開展全面的專業培訓，確保深入掌握系統的技術架構與關鍵技術環節。鼓勵申請企業專利，加強知識產權保護，提升信息系統的整體安全水平，減少對于信息系統的侵權、仿制、破解等風險。行業層面，優化知識管理，進一步提升行業知識共享，運用集體智慧，加強核心系統的自主掌控能力。

    中證協要求，各券商要加強組織領導，同時設置領導小組，指定一名領導班子成員負責領導小組的具體工作實施，建立健全網絡和信息安全提升工作機制，通過制定具體的提升計劃和路線圖，明確任務分工，落實工作責任，保障人力和資金資源投入，以保證貫徹落實網絡和信息安全提升工作目標要求。

    此外，中證協還將建立券商網絡和信息安全提升的信息統計機制，推動相關配套激勵政策落實，為網絡和信息安全情況納入券商信息科技分類監管評級提供公允的參考依據。

    據了解，《安全提升計劃》主要任務聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題，從科技治理能力、科技投入機制、信息系統架構規劃設計、研發測試效能與質量、系統運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。