中國(guó)基金報(bào)記者 趙心怡

中國(guó)基金報(bào)記者1月6日從業(yè)內(nèi)獲悉，各證券公司收到了由中國(guó)證券業(yè)協(xié)會(huì)下發(fā)的《網(wǎng)絡(luò)和信息安全三年提升計(jì)劃（2023-2025）（征求意見(jiàn)稿）》（下稱《安全提升計(jì)劃》），作為指導(dǎo) 2023 年－ 2025 年證券公司提升網(wǎng)絡(luò)與信息安全工作的行動(dòng)指南。

【資料圖】

據(jù)介紹，此舉為推動(dòng)證券公司加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行保障體系和能力建設(shè)，提高資本市場(chǎng)網(wǎng)絡(luò)和信息安全水平。此消息一經(jīng)放出，1月6日午后金融科技概念股聞風(fēng)大漲。

中證協(xié)在編制說(shuō)明中指出，主要任務(wù)是聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問(wèn)題，從科技治理能力、科技投入機(jī)制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計(jì)、研發(fā)測(cè)試效能與質(zhì)量、系統(tǒng)運(yùn)行保障能力和網(wǎng)絡(luò)信息安全防護(hù)體系等六個(gè)方面明確提出提升方向和要求。

綜合考慮到不同年度、不同類(lèi)型公司、不同基礎(chǔ)，《安全提升計(jì)劃》將重點(diǎn)事項(xiàng)分解為33項(xiàng)重點(diǎn)工作，以便各公司更清晰明了參照?qǐng)?zhí)行。

——一起來(lái)看詳情。

六個(gè)主要任務(wù)

《安全提升計(jì)劃》顯示，力爭(zhēng)到 2025 年，通過(guò)組織引導(dǎo)證券公司積極落實(shí)各項(xiàng)行動(dòng)舉措，促進(jìn)證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實(shí)成效。

第一個(gè)主要任務(wù)是持續(xù)提升科技治理水平。 具體來(lái)看，包括全面完善科技戰(zhàn)略發(fā)展規(guī)劃、充分發(fā)揮科技治理組織作用、大力推動(dòng)信息科技管理體系建設(shè)、增強(qiáng)合規(guī)風(fēng)控內(nèi)部審查和持續(xù)完善供應(yīng)商管理機(jī)制五個(gè)要點(diǎn)。

在增強(qiáng)合規(guī)風(fēng)控內(nèi)部審查方面，需要各公司健全網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)管理二道防線，增強(qiáng)內(nèi)部審查力度，全面識(shí)別風(fēng)險(xiǎn)、揭示問(wèn)題，定期組織各防線的內(nèi)部審查，建立閉環(huán)管理機(jī)制，確保風(fēng)險(xiǎn)及問(wèn)題妥當(dāng)處置。

第二個(gè)主要任務(wù)是建立科學(xué)合理的科技投入機(jī)制，涉及合理加大科技資金投入和加強(qiáng)科技人才隊(duì)伍建設(shè)兩個(gè)方面。 中證協(xié)鼓勵(lì)有條件的公司2023-2025三個(gè)年度信息科技平均投入金額不少于上述三個(gè)年度平均凈利潤(rùn)的8%或平均營(yíng)業(yè)收入的6%，還應(yīng)制定人才培養(yǎng)計(jì)劃，持續(xù)充實(shí)專(zhuān)業(yè)技術(shù)人才隊(duì)伍，配備充足的信息科技和網(wǎng)絡(luò)安全等專(zhuān)業(yè)人員。

主要任務(wù)之三是增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力 ，重點(diǎn)提到建立及完善系統(tǒng)架構(gòu)管理機(jī)制、建設(shè)及健全企業(yè)級(jí)應(yīng)用架構(gòu)、持續(xù)加強(qiáng)數(shù)據(jù)架構(gòu)體系治理、多方位推進(jìn)技術(shù)架構(gòu)轉(zhuǎn)型升級(jí)和持續(xù)提高核心系統(tǒng)自主掌控能力五個(gè)板塊。

中證協(xié)鼓勵(lì)有條件的證券公司積極推進(jìn)新一代核心系統(tǒng)的建設(shè)，開(kāi)展核心系統(tǒng)技術(shù)架構(gòu)的轉(zhuǎn)型升級(jí)工作；鼓勵(lì)有條件的證券公司合作研發(fā)或自主研發(fā)安全可控的關(guān)鍵技術(shù)、系統(tǒng)或設(shè)施。

主要任務(wù)的第四點(diǎn)是強(qiáng)化系統(tǒng)研發(fā)測(cè)試管理能力 ，各公司在制定并落實(shí)信息系統(tǒng)代碼審計(jì)規(guī)范方面，要制定及完善涵蓋自研系統(tǒng)和外購(gòu)類(lèi)系統(tǒng)的代碼審計(jì)規(guī)范。自研系統(tǒng)的代碼審計(jì)，實(shí)現(xiàn)全部代碼審計(jì)100%覆蓋。此外，在與第三方合作時(shí)，公司應(yīng)建立及完善合規(guī)管控機(jī)制，包括責(zé)任部門(mén)、合作方案的合規(guī)性、風(fēng)控制能力、可行性等。

在第五個(gè)任務(wù)——夯實(shí)系統(tǒng)運(yùn)行保障能力中 ，值得注意的是，要提升信息系統(tǒng)故障發(fā)現(xiàn)能力和全面提高事件預(yù)警及處置效率，中證協(xié)鼓勵(lì)有條件的證券公司建設(shè)和提升應(yīng)急處置預(yù)案的自動(dòng)化能力，提高故障研判和快速處置效率，提升故障自愈能力等。

最后一個(gè)主要任務(wù)是健全網(wǎng)絡(luò)和信息安全防護(hù)體系 ，包括深化漏洞全生命周期管控、完善移動(dòng)應(yīng)用客戶端應(yīng)用軟件認(rèn)證機(jī)制和持續(xù)加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和通報(bào)預(yù)警等多項(xiàng)重點(diǎn)內(nèi)容。

《安全提升計(jì)劃》在APP安全檢測(cè)認(rèn)證的重要性中提到，鼓勵(lì)證券公司委托第三方機(jī)構(gòu)開(kāi)展 App 安全認(rèn)證，及時(shí)發(fā)現(xiàn)App中存在的安全隱患，確保證券公司自營(yíng) App 在程序開(kāi)發(fā)、個(gè)人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國(guó)家及行業(yè)信息安全標(biāo)準(zhǔn)，切實(shí)保護(hù)投資者個(gè)人信息安全。

此前多家機(jī)構(gòu)因信息系統(tǒng)安全問(wèn)題被監(jiān)管通報(bào)

2022年5月，證監(jiān)會(huì)在給各機(jī)構(gòu)下發(fā)的《機(jī)構(gòu)監(jiān)管情況通報(bào)》中提到，多家證券基金經(jīng)營(yíng)機(jī)構(gòu)發(fā)生信息系統(tǒng)安全事件，影響投資者正常交易，給行業(yè)聲譽(yù)造成負(fù)面影響。監(jiān)管部門(mén)將依法開(kāi)展調(diào)查工作，嚴(yán)肅處理相關(guān)機(jī)構(gòu)及責(zé)任人員。

上述通報(bào)直指證券基金機(jī)構(gòu)在信息系統(tǒng)方面存在的五大問(wèn)題：

一是個(gè)別公司合規(guī)內(nèi)控管理不到位，系統(tǒng)升級(jí)改造過(guò)程中存在薄弱環(huán)節(jié)。

二是主體責(zé)任意識(shí)不強(qiáng)、履行不力，未清晰、準(zhǔn)確、完整掌握外部供應(yīng)商提供軟件的系統(tǒng)架構(gòu)。

三是運(yùn)維人員操作規(guī)范性不足，未能建立有效的權(quán)限管理及復(fù)核機(jī)制。

四是移動(dòng)APP開(kāi)發(fā)管理存在短板，已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。

五是安全管理存在漏洞，應(yīng)對(duì)外部網(wǎng)絡(luò)攻擊或爬蟲(chóng)程序訪問(wèn)等網(wǎng)絡(luò)防護(hù)能力仍需提升。

《機(jī)構(gòu)監(jiān)管情況通報(bào)》中特別提及，招商證券在2022年3月14日和5月16日的周末系統(tǒng)升級(jí)過(guò)程中，測(cè)試場(chǎng)景尤其壓力測(cè)試不夠充分，導(dǎo)致交易系統(tǒng)接連兩次發(fā)生信息系統(tǒng)安全事件。

招商證券當(dāng)時(shí)針對(duì)監(jiān)管處罰的回應(yīng)是，公司將以此為鑒、積極整改，全面提升系統(tǒng)的穩(wěn)定性和安全性，為客戶提供更好的交易體驗(yàn)。

通報(bào)還提到，2021年5月18日，首創(chuàng)證券的上交所報(bào)盤(pán)程序發(fā)生故障，事故原因?yàn)檐浖?wù)商工程師對(duì)部署在同一服務(wù)器上的資管系統(tǒng)升級(jí)時(shí)，升級(jí)包存在邏輯錯(cuò)誤。

2022年2月中，還有3家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲(chóng)程序?qū)е鹿倬W(wǎng)無(wú)法訪問(wèn)的網(wǎng)絡(luò)安全事件。

金融科技概念股“聞風(fēng)大漲” 頂點(diǎn)軟件直線拉升觸板

上述《安全提升計(jì)劃》消息放出后，1月6日午后金融科技概念股大漲，頂點(diǎn)軟件午后直線拉升觸板，財(cái)富趨勢(shì)、大智慧、恒生電子、指南針、金證股份和麥迪科技等紛紛跟漲。

資料顯示，頂點(diǎn)軟件是一家專(zhuān)業(yè)化平臺(tái)型軟件及信息化服務(wù)提供商，致力于利用自主研發(fā)的“靈動(dòng)業(yè)務(wù)架構(gòu)平臺(tái)（LiveBOS)”，為包括證券、期貨、銀行、電子交易市場(chǎng)等在內(nèi)的金融行業(yè)及其他行業(yè)提供以業(yè)務(wù)流程管理（BPM）為核心、以“互聯(lián)網(wǎng)+”應(yīng)用為重點(diǎn)方向的信息化解決方案。

金證股份也在午盤(pán)出現(xiàn)直線拉升，截至1月6日收盤(pán)，金證股份報(bào)11.11元/每股，總市值為104.52億元。