中证协最新发布!证券公司三年提升计划全面解读!

近日,中国证券业协会组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》(下称《安全提升计划》),并于 1 月 6 日开始向券商征求意见。《安全提升计划》从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力、网络信息安全防护体系等六个方面明确提出了提升方向和要求。

作为一家在金融行业深耕十余年的企业级云服务商与数字化解决方案提供商,青云数字价值研究院对《安全提升计划》的重点内容进行如下分析和解读:

如需获取原文可后台私信青小云哦~

核心关键词一: 信息科技投入

一、合理加大科技资金投入

1、《安全提升计划》提出建立科学合理的科技投入机制,要求证券行业合理加大科技资金投入,并鼓励有条件的公司 2023-2025 年信息科技平均投入金额不少于上述三个年度平均净利润的 8% 或平均营业收入的 6%。

以最新披露的数据为例,2021 年证券行业信息技术投入金额为 338.2 亿元,同比增长 28.7%,占上一年度营业收入的 7.7%;其中有 10 家券商的投入均超 10 亿元,信息技术投入占营业收入比例超 6% 的券商有 20 家,而不少中小券商也将金融科技视为核心竞争力之一,华林证券、华鑫证券的投入占比均已超 20%;不过中信证券、中信建投等部分头部券商的投入占比均在 6% 以下。

2、其中网络和信息安全投入不低于信息科技投入总额的 7%。

二、加强科技人才队伍建设

信息科技专业人员不低于公司员工总数的 6%,目前中国有 6 家证劵公司人数突破 1 万人,按这个比例,也就要求科技人员要达到至少 600 人以上;网络和信息安全专业人员,不低于信息科技专业人员的 3% 且不应少于 4 人。

青云数字价值研究院认为,券商信息科技建设的重视程度将不断提升,IT投入水平也将出现较大的增量空间。

核心关键词二: 架构建设

《安全提升计划》提出“应用架构、数据架构、技术架构”三大架构的建设方向,并要求建立一个【架构管理】的机制。

一、应用架构:强调提高架构复用性,防止系统的重复建设;降低软件开发、系统维护和升级等方面的费用。

二、数据架构:强调持续加强在数据全生命周期的各阶段,建立并落实技术防护能力。

三、技术架构:强调加强核心系统的技术攻关,鼓励有条件的证券公司积极推进新一代核心系统的建设和转型。

新一代核心系统的建设及转型升级工作,即“建设+转型”两方面的工作:

一、从集中式专有技术架构向分布式、低时延、开放技术架构转型,具备高可用、高性能、低延时、易扩展及松耦合等特性。

二、鼓励上云。

1、鼓励有条件的证券公司加快信息系统上云,通过云计算平台承载及运行的信息系统比例不低于 60%。

2、由容器等云平台承载的云原生系统比例不低于 10%。

核心关键词三:自主掌控能力

《安全提升计划》提出要提高核心系统自主掌控能力。具体来说,主要通过两种最基本方式:

一、鼓励证劵公司自研

鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。

二、外购方式,确保对关键技术的掌控

对于外购系统,要求厂商提供完整的系统技术资料,确保深入掌握系统的技术架构与关键技术环节。

此外,提出不管自研还是外购代码,全部代码 100% 审计:

1、制定及完善涵盖自研系统和外购类系统的代码审计规范。

2、外购系统的代码审计,根据系统交付是否包含源代码,决定是否通过安全代码审计检查或要求供应商提供代码审计报告。重要系统新上线或重大变更必须全面完成“测试验收”,重要信息系统的自动化测试比例不低于整体测试比例的 30%。

核心关键词四:提升开发效率及安全

一、研发规范的制定。

二、研发工具建设,建设统一的源代码管理工具、标准化的研发运维一体化工具。

三、如果找第三方合作,那么必须具备强风险管控能力。事前对第三方充分评估,并签署安全承诺书或合同条款:

1、充分评估审核后再开展业务。

2、落实关键信息基础设施系统网络安全审查预判,通过签署安全承诺书或在合同中包含信息安全条款等方式,加强对第三方的约束。

3、全周期,持续性监管第三方。持续对第三方系统开展全方位的安全检测监控,按要求提供代码安全扫描报告,及时解决发现的代码安全问题,修复系统运行过程中发现的漏洞。

核心关键词五:夯实系统运行保障能力

持续提升信息系统故障发现能力。证券公司在 2023 年底前建立全面覆盖业务、应用、底层基础架构和基础设施的信息系统运行监测体系,并持续完善,不断提升运行监控的覆盖度,建设统一的告警平台。

在 2023 年底前制定信息系统备份管理策略,建立数据防丢、防删的权限管控机制和技术手段,提升重要信息系统的备份管控能力建设。

核心关键词六:健全网络安防护体系

在 2023 年底前建立完善的漏洞管理制度,明确分级分类标准、职责分工与处置要求,漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。

确保第三方系统不记录、不存储、不更改相关业务、客户数据及资料。

– 对“所有”信息系统,开展等保定级。

– 对“重要”信息系统,按照监管机构的指导意见将定为三级或二级。

提升安全攻击防控能力建设,统一的安全运营中心,加大安全响应自动化能力的建设。数据使用上“依法合规、最小必要”,所有授权操作均符合“最小授权”原则。所有用户授权有记录,并具备数据全生命周期的安全管理长效机制和防护措施。

结语:

如此投入规模,对于网络安全行业而言无疑是一个重大利好。作为一家企业级云服务商与数字化解决方案提供商,青云科技深耕金融行业十余年,坚持核心技术 100% 自研,具备行业顶尖的技术研发实力,凭借多年的实践经验,以及对金融行业数字化转型的全面理解,已具备支撑证券机构开展《安全提升计划》落地工作的能力。

代码的安全性测试是金融机构新的关注点,在提升自主开发效率及安全方面,DevSecOps 在青云科技的一些客户中得到了实践,DevOps 将开发、测试、运维打通,使之前传统孤立的角色(开发、IT 运营、质量工程和安全)可以更好地协作。青云容器平台通过插件的方式集成了 DevOps、微服务以及持续交付的组件。同时,青云整合了 DevOps 流水线的交付组件,让开发者、测试人员以及最终上线的运维串联起来,大大提高了运维及开发效率。

在行业核心系统架构建设与管理方面,青云科技面向大型和中小券商提供了企业云、分布式存储、云易捷和容器云等多种产品和解决方案,契合券商架构转型的不同阶段和不同基础架构类型的需求,全面助力和推动证券行业的架构转型建设。青云提供灵活定制的云原生套餐,通过三大容器平台,覆盖公有云、私有云、混合云、多云、开源等各种应用场景,为证券行业提供最适合的专属云原生服务。

青云数字价值研究院认为,《安全提升计划》或将成为未来三年(2023-2025年)券商的数字化转型建设的指路明灯。证券行业数字化转型将加速推进,在广度和深度上不断扩大。青云科技将继续发挥优势,不断创新,以更坚实的技术底座,全面赋能证券行业基础设施建设及架构转型升级的双轮数字化升级。