证券公司网络和信息安全三年提升计划 （2023-2025） （征求意见稿） 中国证券业协会 2023年1月目录 一、导语......................................................................................1 二、总体要求..............................................................................2 （一）指导思想.....................................................................2 （二）基本原则.....................................................................2 （三）总体目标.....................................................................3 三、主要任务..............................................................................3 （一）持续提升科技治理水平.............................................3 （二）建立科学合理的科技投入机制................................5 （三）增强信息系统架构规划掌控能力............................5 （四）强化系统研发测试管理能力.....................................8 （五）夯实系统运行保障能力...........................................10 （六）健全网络和信息安全防护体系..............................13 四、组织保障............................................................................18 （一）加强组织领导...........................................................18 （二）重视人才培养...........................................................18 （三）完善评估激励...........................................................19 （四）强化技术规范...........................................................19 （五）做好安全服务...........................................................20 （六）积极宣传引导...........................................................20 五、附件....................................................................................201一、导语 近年来，在行业数字化加速发展和大数据、云计算、 区块链和人工智能等新技术应用不断深入的大背景下，证券 公司对网络和信息安全的重视程度大幅提升，组织架构和制 度体系持续优化，信息技术投入逐年增加，行业网络和信息 安全运行态势总体平稳。但随着业务与技术加速融合，网络 和信息安全管理日趋复杂，信息系统建设任务明显增加，上 线变更操作较为频繁，行业网络和信息安全管理能力面临更 大挑战。 党的二十大报告提出加快发展数字经济，促进数字经济 和实体经济深度融合的重大战略部署。新时代新征程，为证 券公司数字化发展指明了方向，对证券公司网络和信息安全 能力提出了更高要求。证券公司更需按照新发展阶段的要 求，统筹发展与安全，加强网络与信息系统安全稳定运行保 障体系和能力建设，提高资本市场网络和信息安全水平，防 范化解网络与信息系统安全风险，推动数字赋能行业高质量 发展，为服务实体经济做出新贡献。为此，在中国证监会指 导下，依据《网络安全法》《数据安全法》《个人信息保护 法》《关键信息基础设施安全保护条例》《证券期货业科技 发展“十四五”规划》等法律法规和监管规定，中国证券业 协会（以下简称协会）组织起草了《证券公司网络和信息安 全三年提升计划（2023-2025）》（以下简称《安全提升计2划》）。 二、总体要求 （一）指导思想 以习近平新时代中国特色社会主义思想为指导，深入贯 彻党的二十大精神，全面落实网络强国、数字中国战略，坚 持稳中求进，立足新发展阶段，贯彻新发展理念，统筹发展 和安全，有机结合国家金融安全与行业数字化发展，探索安 全可靠的数字化新技术、新模式，推进行业网络和信息安全 防护能力持续提升，牢牢守住不发生系统性金融风险的底 线。 （二）基本原则 --遵循稳健性原则。强化合规风控，严守风险底线，有 效防范化解网络和信息技术应用中的各类风险，保障网络和 信息系统安全稳定运行。 --遵循系统性原则。强化协同机制，整体规划，促进网 络和信息安全与科技创新、信息保护、数据治理等深度融合， 系统推进网络和信息系统架构得到有序提升。 --遵循差异性原则。强化专业引领，因事制宜，根据各 机构技术特点和专业服务特色，明确网络和信息安全提升重 点，建设特色化、专业化、差异化网络和信息安全架构。 --遵循创新性原则。强化创新驱动，科技引领，将创新 应用作为数字化发展、网络和信息安全的第一动力，实现业3务创新和技术创新相互带动，整体提升证券服务能力和市场 竞争能力。 （三）总体目标 力争到2025年，通过组织引导证券公司积极落实各项 行动举措，促进证券行业网络和信息安全建设取得扎实成 效：行业人员网络和信息安全意识明显增强，科技治理能力 有效提升，信息系统架构掌控能力全面加强，科技资金投入 和人才培养力度持续加大，网络和信息安全防护体系基本健 全，行业科技创新和数字化转型迈上新的台阶，为行业高质 量发展提供有力支撑，全力支持资本市场改革发展，牢牢守 住不发生系统性网络和信息安全风险的底线。 三、主要任务 （一）持续提升科技治理水平 1．全面完善科技战略发展规划。加强顶层设计，制定 全方位的网络和信息科技战略发展规划，明确实施策略和具 体路径，确保网络和信息安全领域的全覆盖，并进行动态修 订和持续完善。 2．充分发挥科技治理组织作用。进一步健全科技治理 架构，加强科技治理组织对网络和信息安全保障工作的主导 和统筹，推动网络和信息安全工作逐步由被动防御转变为主 动加固和动态保障。在保障主机安全、网络安全和应用安全 的基础上，进一步提高科技治理组织在数据安全管理、安全4应急响应等方面的治理能力，提高科技治理组织对重大IT 事项决策的科学性和有效性。 3．大力推动信息科技管理体系建设。完善信息系统开 发、测试、运维及信息安全等技术领域的管理体系，持续提 高研发效能与软件质量，提升运维管理服务及信息安全管理 水平。结合自身实际情况，积极开展与国际、国家以及行业 标准化体系的对标工作。 4．增强合规风控内部审查。健全网络和信息安全风险 管理二道防线，增强内部审查力度，全面识别风险、揭示问 题，定期组织各防线的内部审查，建立闭环管理机制，确保 风险及问题妥当处置。充分发挥合规风控二道防线的监控和 督导作用。对业务开展中可能涉及网络和信息安全合规性的 事项进行评估和审核，处理好安全、效率与易用性等各类特 性的关系。加强信息科技管理相关流程的数字化建设，建立 相应的风险监控系统，对业务开展中可能涉及网络和信息安 全合规性的事项进行监测和评估，降低信息科技各个环节的 操作风险。 5．持续完善供应商管理机制。加强对信息科技服务机 构管理，定期开展供应商评估，对合作供应商的资质、服务 质量、响应效率等内容进行评估与审查，持续保障系统和服 务的可靠性。加强供应商服务过程管控，依据监管要求做好 供应商准入管理；加强供应商项目实施人员的背景调查，严5格管控人员的操作环境权限，做好上岗前的安全教育培训 等；强化交付过程中的质量验收、交付后服务支持及时响应 与高效解决。 （二）建立科学合理的科技投入机制 1．合理加大科技资金投入。鼓励有条件的公司 2023-2025三个年度信息科技平均投入金额不少于上述三个 年度平均净利润的8%或平均营业收入的6%。持续优化信息 科技投入结构，加强研发类、网络和信息安全类以及信创建 设等方面的投入，深化信息技术架构设计、系统测试、安全 防护、数字化转型能力建设，其中网络和信息安全投入不低 于信息科技投入总额的7%。 2．加强科技人才队伍建设。制定人才培养计划，持续 充实专业技术人才队伍，配备充足的信息科技和网络安全等 专业人员。建设与业务规模、系统规模及复杂度相匹配的专 业化网络和信息安全团队，并持续加强网络和信息安全人才 的储备。持续加强核心系统的专业化技术力量，提升核心系 统的自主掌控。持续优化科技组织架构和运作模式，使得信 息科技从以服务业务为主，逐步转向以赋能和引领业务的发 展方向，提升整体核心竞争力。完善安全管理序列与安全技 术序列的管理体系,建立健全与行业相适应