查看原文
其他

证券、基金、基金三大金融行业重磅发布网络和信息安全提升三年计划!





中国证券业协会、中国期货业协会、中国证券投资基金业协会分别发布本行业《网络和信息安全三年提升计划(2023-2025)》。

《证券公司网络和信息安全三年提升计划(2023-2025)》

为推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险,近日,中国证券业协会印发《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》),阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。《安全提升计划》围绕国家关于网络和信息安全的具体要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚焦防范网络和信息安全风险,明确六类31项主要任务要求,形成32项具体任务清单

《安全提升计划》明确当前和今后一段时期全面提升证券公司网络和信息安全的指导思想是坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,全面落实网络强国、数字中国战略,坚持稳中求进,立足新发展阶段,贯彻新发展理念,统筹发展和安全,有机结合国家金融安全与行业数字化发展,探索安全可靠的数字化新技术、新模式,推进行业网络和信息安全防护能力持续提升,牢牢守住不发生系统性金融风险的底线。

《安全提升计划》明确了应当遵循的基本原则:一是稳健性原则,强化合规风控,严守风险底线;二是系统性原则,强化协同机制,整体规划;三是差异性原则,强化专业引领,因司制宜;四是创新性原则,强化创新驱动,科技赋能。

未来三年全面提升证券公司网络和信息安全的总体目标是通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效:行业从业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。

《安全提升计划》明确了六大类31项主要任务。其中,持续提升科技治理水平的任务共5项,包括完善信息科技战略发展规划、发挥科技治理组织作用、推动信息科技管理体系建设、健全信息科技风险管理三道防线、完善供应商管理机制等方面;

建立科学合理的科技投入机制的任务共2项,包括加大科技资金投入、加强科技人才队伍建设等方面;增强信息系统架构规划掌控能力的任务共5项,包括建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级、持续提高核心系统自主掌控能力等方面;

强化系统研发测试管理能力的任务共4项,包括建立及完善需求设计及分析机制、提升代码开发效率及安全、制定并落实信息系统代码审计规范、加强信息系统测试质量管控等方面;夯实系统运行保障能力的任务共7项,包括加强信息系统上下线管理、管控信息系统变更风险、提升信息系统故障发现能力、提高事件预警及处置效率、健全组织级应急响应管理机制、做好信息系统容量与性能管理、完善重要信息系统数据备份能力等方面;

健全信息安全防护体系的任务共8项,包括落实等级保护定级和测评要求、深化漏洞全生命周期管控、提升安全攻击防控能力、加强网络安全态势感知和通报预警、完善移动客户端应用软件认证机制、加强数据安全管理体系建设、持续加强安全意识培训、做好安全全局性建设等方面。

为推动《安全提升计划》贯彻落实,协会将加强对证券行业网络和信息安全提升工作的督导,通过推动各公司加强组织领导、重视人才培养、完善评估激励、强化制度供给、做好安全服务、加强培训交流和总结推广示范实践等方式,引导行业对标提升,构建良好的证券科技生态。

《期货公司网络和信息安全三年提升计划(2023-2025)》

为深入学习贯彻党的二十大精神和习近平总书记关于网络安全的重要论述,统筹发展与安全,以新安全格局保障新发展格局,助力中国特色现代资本市场建设,中国期货业协会近日向期货公司会员发布《期货公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》),旨在引导期货公司持续提升网络安全工作能力和水平,防范化解系统性风险,为服务市场功能进一步发挥和行业高质量发展提供坚实保障。 

《提升计划》主要包括导语、总体要求、主要任务和保障措施四方面内容,是协会积极落实《期货和衍生品法》赋予职能,持续深化会员信息安全自律管理工作的重要举措。编制过程中,协会始终坚持系统观念和问题导向,充分考虑行业信息科技应用发展特点,明确了《提升计划》的指导思想、基本原则和总体目标,围绕提升期货公司信息技术治理能力,加强系统运行维护管理,提升网络安全保障水平,培育自主研发能力四方面实际需要,提出了20项工作任务,并配套制定了五方面保障措施。

希望广大期货公司以此为指导,进一步明确本公司网络和信息安全工作目标及具体措施,持续加大信息科技投入,努力夯实数字化转型发展的安全基础,为加强科技赋能,实现资本市场高质量发展提供有力支撑。 

后续,协会将持续关注《提升计划》落实情况,积极推动各项保障措施落地,努力发挥行业自律组织“自律、服务、传导”职能和桥梁纽带作用,与期货公司携手同心、砥砺同行,为全面落实网络强国、数字中国战略贡献力量。 

《基金管理公司网络和信息安全三年提升计划(2023-2025)》

为贯彻落实党的二十大精神,根据中国证监会相关工作部署,中国证券投资基金业协会(以下简称协会)发布了《基金管理公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》),旨在引导公募基金管理公司全面提升网络和信息安全保障能力,保护投资者合法权益,赋能基金行业数字化转型和高质量发展

《提升计划》编制过程中,协会广泛征求意见、分析过往数据、发挥专家智慧、凝聚行业共识,聚焦行业信息系统安全存在的基础性、深层次问题,查找安全运行的薄弱环节,突出引导性定位,提高行业自主性,力求《提升计划》更具有代表性与可操作性,更符合公募基金管理公司实际情况。《提升计划》的发布实施将促进公募基金管理公司不断提升网络和信息安全保障水平,行业从业人员增强网络和信息安全意识。

《提升计划》主要包含发展现状与形势、总体要求、重点任务、保障措施及附件等5个部分,回顾了行业发展情况,分析了网络和信息安全建设现状,阐述了发展形势与挑战,提出了“6体系1落实7保障”的工作思路与具体建议,设定了33项量化指标,明确了指标统计口径,着力促进公募基金管理公司持续加大信息技术资金及人员投入,持续健全网络和信息安全管理体系,不断强化系统全流程研发管控力度,大力夯实网络和信息安全技术基础,探索深化数据安全全链路治理能力,持续完善网络和信息安全运维机制,不断提升网络和信息安全应急水平,积极落实网络和信息安全监管要求。

未来三年,希望公募基金管理公司统筹发展与安全,以《提升计划》作为开展自身网络和信息安全工作的行动指南,进一步筑牢网络和信息安全基石,支撑基金行业高质量发展。协会将持续做好基金行业网络和信息安全相关培训、交流、评估等工作,积极培育公募基金管理公司网络和信息安全健康发展新生态。

律师分析

证券期货机构作为持牌金融机构,其所开展的数据处理活动具有敏感度高、个人信息数量多、涉及信息系统复杂等特点。基于上述特点,证券期货行业应当在开展信息安全工作过程中着重关注以下两大要点:
一是个人信息处理。证券期货公司在开展经纪业务的过程中,会直接或间接收集大量的投资者的个人信息,其中不乏银行账户、人脸照片等敏感个人信息,因此个人信息处理行为的合规性是其开展信息安全工作时的第一大合规要点。2022年4月,国家移动互联网应用安全管理中心(CNAAC)曾点名12家证券公司APP在个人信息处理方面存在合规瑕疵,可以预见后续监管机关将会持续关注证券期货公司的个人信息处理合规情况。
二是网络数据安全。在《网络安全法》以及《数据安全法》出台后,许多人对这两部法律的实效性提出了质疑,认为其部分规定缺少具体的落地指南。但随着2023年2月《证券期货业网络和信息安全管理办法》的出台,证券期货行业网络数据安全相关事宜既有了详细的落地指引,又有了明确的执法依据。可以预见,证券期货机构的信息系统建设、网络安全等级保护情况、数据容灾备份等网络数据安全领域内的事项将成为监管机关重点关注的对象,各证券期货公司应当提早制定并落实合规计划,降低执法风险。
建议证券期货机构提高自身信息技术能力;加强与外部机构在网络信息安全方面的合作,定期聘请外部机构对公司核心系统在压力测试、信息系统容量等方面进行IT审计,分析其中潜在的合规问题,制定并落实相应的解决方案;制定完善的内控制度,与法律法规和监管规定做好衔接,建立完善的个人信息保护与网络数据安全内控制度,同时进一步加强内控制度执行情况现场及非现场检查,确保其有效执行。
由数据安全域综合整理,转载请注明来源。

END
往期推荐01联合国发布《全球数字契约》,涉及数字合作、数字信任和安全、人工智能治理02江西某公司因违反《数据安全法》被网信办处罚!主管人同罚!03生活中的数据泄露隐患该如何防护?

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存