中证协重要发布，这类股闻风大涨

　　中国基金报记者1月6日从业内获悉，各证券公司收到了由中国证券业协会下发的《网络和信息安全三年提升计划（2023-2025）（征求意见稿）》（下称《安全提升计划》），作为指导 2023 年－ 2025 年证券公司提升网络与信息安全工作的行动指南。

本文来自散户吧WWW.SANHUBA.COM

　　据介绍，此举为推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设，提高资本市场网络和信息安全水平。此消息一经放出，1月6日午后金融科技概念股闻风大涨。

本文来自散户吧WWW.SANHUBA.COM

　　中证协在编制说明中指出，主要任务是聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题，从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。

　　综合考虑到不同年度、不同类型公司、不同基础，《安全提升计划》将重点事项分解为33项重点工作，以便各公司更清晰明了参照执行。 本文来自散户吧WWW.SANHUBA.COM

　　——一起来看详情。

本文来自散户吧WWW.SANHUBA.COM

　　六个主要任务

　　《安全提升计划》显示，力争到 2025 年，通过组织引导证券公司积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效。

本文来自散户吧WWW.SANHUBA.COM

　　第一个主要任务是持续提升科技治理水平。具体来看，包括全面完善科技战略发展规划、充分发挥科技治理组织作用、大力推动信息科技管理体系建设、增强合规风控内部审查和持续完善供应商管理机制五个要点。

本文来自散户吧WWW.SANHUBA.COM

　　在增强合规风控内部审查方面，需要各公司健全网络和信息安全风险管理二道防线，增强内部审查力度，全面识别风险、揭示问题，定期组织各防线的内部审查，建立闭环管理机制，确保风险及问题妥当处置。 本文来自散户吧WWW.SANHUBA.COM

　　第二个主要任务是建立科学合理的科技投入机制，涉及合理加大科技资金投入和加强科技人才队伍建设两个方面。中证协鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%，还应制定人才培养计划，持续充实专业技术人才队伍，配备充足的信息科技和网络安全等专业人员。

　　主要任务之三是增强信息系统架构规划掌控能力，重点提到建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级和持续提高核心系统自主掌控能力五个板块。 本文来自散户吧WWW.SANHUBA.COM

　　中证协鼓励有条件的证券公司积极推进新一代核心系统的建设，开展核心系统技术架构的转型升级工作；鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。

本文来自散户吧WWW.SANHUBA.COM

　　主要任务的第四点是强化系统研发测试管理能力，各公司在制定并落实信息系统代码审计规范方面，要制定及完善涵盖自研系统和外购类系统的代码审计规范。自研系统的代码审计，实现全部代码审计100%覆盖。此外，在与第三方合作时，公司应建立及完善合规管控机制，包括责任部门、合作方案的合规性、风控制能力、可行性等。

　　在第五个任务——夯实系统运行保障能力中，值得注意的是，要提升信息系统故障发现能力和全面提高事件预警及处置效率，中证协鼓励有条件的证券公司建设和提升应急处置预案的自动化能力，提高故障研判和快速处置效率，提升故障自愈能力等。 本文来自散户吧WWW.SANHUBA.COM

　　最后一个主要任务是健全网络和信息安全防护体系，包括深化漏洞全生命周期管控、完善移动应用客户端应用软件认证机制和持续加强网络安全态势感知和通报预警等多项重点内容。 本文来自散户吧WWW.SANHUBA.COM

　　《安全提升计划》在APP安全检测认证的重要性中提到，鼓励证券公司委托第三方机构开展 App 安全认证，及时发现App中存在的安全隐患，确保证券公司自营 App 在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准，切实保护投资者个人信息安全。

本文来自散户吧WWW.SANHUBA.COM

　　此前多家机构因信息系统安全问题被监管通报 本文来自散户吧WWW.SANHUBA.COM

　　2022年5月，证监会在给各机构下发的《机构监管情况通报》中提到，多家证券基金经营机构发生信息系统安全事件，影响投资者正常交易，给行业声誉造成负面影响。监管部门将依法开展调查工作，严肃处理相关机构及责任人员。 本文来自散户吧WWW.SANHUBA.COM

　　上述通报直指证券基金机构在信息系统方面存在的五大问题： 本文来自散户吧WWW.SANHUBA.COM

　　一是个别公司合规内控管理不到位，系统升级改造过程中存在薄弱环节。

　　二是主体责任意识不强、履行不力，未清晰、准确、完整掌握外部供应商提供软件的系统架构。

　　三是运维人员操作规范性不足，未能建立有效的权限管理及复核机制。

本文来自散户吧WWW.SANHUBA.COM

　　四是移动APP开发管理存在短板，已成为信息系统安全事件易发领域。 本文来自散户吧WWW.SANHUBA.COM

　　五是安全管理存在漏洞，应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。 本文来自散户吧WWW.SANHUBA.COM

(小编：财神)