中國基金報記者 趙心怡

中國基金報記者1月6日從業(yè)內(nèi)獲悉，各證券公司收到了由中國證券業(yè)協(xié)會下發(fā)的《網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）（征求意見稿）》（下稱《安全提升計劃》），作為指導(dǎo) 2023 年－ 2025 年證券公司提升網(wǎng)絡(luò)與信息安全工作的行動指南。

【資料圖】

據(jù)介紹，此舉為推動證券公司加強網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運行保障體系和能力建設(shè)，提高資本市場網(wǎng)絡(luò)和信息安全水平。此消息一經(jīng)放出，1月6日午后金融科技概念股聞風(fēng)大漲。

中證協(xié)在編制說明中指出，主要任務(wù)是聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題，從科技治理能力、科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力和網(wǎng)絡(luò)信息安全防護體系等六個方面明確提出提升方向和要求。

綜合考慮到不同年度、不同類型公司、不同基礎(chǔ)，《安全提升計劃》將重點事項分解為33項重點工作，以便各公司更清晰明了參照執(zhí)行。

——一起來看詳情。

六個主要任務(wù)

《安全提升計劃》顯示，力爭到 2025 年，通過組織引導(dǎo)證券公司積極落實各項行動舉措，促進證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效。

第一個主要任務(wù)是持續(xù)提升科技治理水平。 具體來看，包括全面完善科技戰(zhàn)略發(fā)展規(guī)劃、充分發(fā)揮科技治理組織作用、大力推動信息科技管理體系建設(shè)、增強合規(guī)風(fēng)控內(nèi)部審查和持續(xù)完善供應(yīng)商管理機制五個要點。

在增強合規(guī)風(fēng)控內(nèi)部審查方面，需要各公司健全網(wǎng)絡(luò)和信息安全風(fēng)險管理二道防線，增強內(nèi)部審查力度，全面識別風(fēng)險、揭示問題，定期組織各防線的內(nèi)部審查，建立閉環(huán)管理機制，確保風(fēng)險及問題妥當(dāng)處置。

第二個主要任務(wù)是建立科學(xué)合理的科技投入機制，涉及合理加大科技資金投入和加強科技人才隊伍建設(shè)兩個方面。 中證協(xié)鼓勵有條件的公司2023-2025三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%，還應(yīng)制定人才培養(yǎng)計劃，持續(xù)充實專業(yè)技術(shù)人才隊伍，配備充足的信息科技和網(wǎng)絡(luò)安全等專業(yè)人員。

主要任務(wù)之三是增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力 ，重點提到建立及完善系統(tǒng)架構(gòu)管理機制、建設(shè)及健全企業(yè)級應(yīng)用架構(gòu)、持續(xù)加強數(shù)據(jù)架構(gòu)體系治理、多方位推進技術(shù)架構(gòu)轉(zhuǎn)型升級和持續(xù)提高核心系統(tǒng)自主掌控能力五個板塊。

中證協(xié)鼓勵有條件的證券公司積極推進新一代核心系統(tǒng)的建設(shè)，開展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級工作；鼓勵有條件的證券公司合作研發(fā)或自主研發(fā)安全可控的關(guān)鍵技術(shù)、系統(tǒng)或設(shè)施。

主要任務(wù)的第四點是強化系統(tǒng)研發(fā)測試管理能力 ，各公司在制定并落實信息系統(tǒng)代碼審計規(guī)范方面，要制定及完善涵蓋自研系統(tǒng)和外購類系統(tǒng)的代碼審計規(guī)范。自研系統(tǒng)的代碼審計，實現(xiàn)全部代碼審計100%覆蓋。此外，在與第三方合作時，公司應(yīng)建立及完善合規(guī)管控機制，包括責(zé)任部門、合作方案的合規(guī)性、風(fēng)控制能力、可行性等。

在第五個任務(wù)——夯實系統(tǒng)運行保障能力中 ，值得注意的是，要提升信息系統(tǒng)故障發(fā)現(xiàn)能力和全面提高事件預(yù)警及處置效率，中證協(xié)鼓勵有條件的證券公司建設(shè)和提升應(yīng)急處置預(yù)案的自動化能力，提高故障研判和快速處置效率，提升故障自愈能力等。

最后一個主要任務(wù)是健全網(wǎng)絡(luò)和信息安全防護體系 ，包括深化漏洞全生命周期管控、完善移動應(yīng)用客戶端應(yīng)用軟件認證機制和持續(xù)加強網(wǎng)絡(luò)安全態(tài)勢感知和通報預(yù)警等多項重點內(nèi)容。

《安全提升計劃》在APP安全檢測認證的重要性中提到，鼓勵證券公司委托第三方機構(gòu)開展 App 安全認證，及時發(fā)現(xiàn)App中存在的安全隱患，確保證券公司自營 App 在程序開發(fā)、個人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國家及行業(yè)信息安全標(biāo)準，切實保護投資者個人信息安全。

此前多家機構(gòu)因信息系統(tǒng)安全問題被監(jiān)管通報

2022年5月，證監(jiān)會在給各機構(gòu)下發(fā)的《機構(gòu)監(jiān)管情況通報》中提到，多家證券基金經(jīng)營機構(gòu)發(fā)生信息系統(tǒng)安全事件，影響投資者正常交易，給行業(yè)聲譽造成負面影響。監(jiān)管部門將依法開展調(diào)查工作，嚴肅處理相關(guān)機構(gòu)及責(zé)任人員。

上述通報直指證券基金機構(gòu)在信息系統(tǒng)方面存在的五大問題：

一是個別公司合規(guī)內(nèi)控管理不到位，系統(tǒng)升級改造過程中存在薄弱環(huán)節(jié)。

二是主體責(zé)任意識不強、履行不力，未清晰、準確、完整掌握外部供應(yīng)商提供軟件的系統(tǒng)架構(gòu)。

三是運維人員操作規(guī)范性不足，未能建立有效的權(quán)限管理及復(fù)核機制。

四是移動APP開發(fā)管理存在短板，已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。

五是安全管理存在漏洞，應(yīng)對外部網(wǎng)絡(luò)攻擊或爬蟲程序訪問等網(wǎng)絡(luò)防護能力仍需提升。

《機構(gòu)監(jiān)管情況通報》中特別提及，招商證券在2022年3月14日和5月16日的周末系統(tǒng)升級過程中，測試場景尤其壓力測試不夠充分，導(dǎo)致交易系統(tǒng)接連兩次發(fā)生信息系統(tǒng)安全事件。

招商證券當(dāng)時針對監(jiān)管處罰的回應(yīng)是，公司將以此為鑒、積極整改，全面提升系統(tǒng)的穩(wěn)定性和安全性，為客戶提供更好的交易體驗。

通報還提到，2021年5月18日，首創(chuàng)證券的上交所報盤程序發(fā)生故障，事故原因為軟件服務(wù)商工程師對部署在同一服務(wù)器上的資管系統(tǒng)升級時，升級包存在邏輯錯誤。

2022年2月中，還有3家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲程序?qū)е鹿倬W(wǎng)無法訪問的網(wǎng)絡(luò)安全事件。

金融科技概念股“聞風(fēng)大漲” 頂點軟件直線拉升觸板

上述《安全提升計劃》消息放出后，1月6日午后金融科技概念股大漲，頂點軟件午后直線拉升觸板，財富趨勢、大智慧、恒生電子、指南針、金證股份和麥迪科技等紛紛跟漲。

資料顯示，頂點軟件是一家專業(yè)化平臺型軟件及信息化服務(wù)提供商，致力于利用自主研發(fā)的“靈動業(yè)務(wù)架構(gòu)平臺（LiveBOS)”，為包括證券、期貨、銀行、電子交易市場等在內(nèi)的金融行業(yè)及其他行業(yè)提供以業(yè)務(wù)流程管理（BPM）為核心、以“互聯(lián)網(wǎng)+”應(yīng)用為重點方向的信息化解決方案。

金證股份也在午盤出現(xiàn)直線拉升，截至1月6日收盤，金證股份報11.11元/每股，總市值為104.52億元。