6月9日��,中國期貨業協會(簡稱中期協)公告稱�����,近日向期貨公司會員發布《期貨公司網絡和信息安全三年提升計劃(2023-2025)》(以下簡稱《提升計劃》)�����,旨在引導期貨公司持續提升網絡安全工作能力和水平���,防范化解系統性風險�,為服務市場功能進一步發揮和行業高質量發展提供堅實保障����。
根據中期協公告����,《提升計劃》圍繞提升期貨公司信息技術治理能力���,加強系統運行維護管理�,提升網絡安全保障水平�����,培育自主研發能力四方面實際需要�����,提出了工作任務并配套制定了保障措施����。不過��,公告并未披露具體內容�����。
券商中國記者獨家從業內獲得了《提升計劃》全文�����,隨《提升計劃》下發的還有一份《任務清單》����。相關文件顯示�,共有四大類21項工作任務�。其中�����,壓實網絡安全管理責任�、強化信息技術組織架構作用����、制定信息科技和網絡安全規劃����、提升全員網絡安全意識四項任務要求今年完成��。就具體工作來看��,年內需要期貨公司完成的包括明確相關責任人��、制定配套工作規劃����、建立全員安全教育培訓機制等����。
四大類21項工作任務�、4項要求年內完成
券商中國記者獲得的《提升計劃》全文顯示�,主要任務有“著力提升信息技術治理能力”���、“持續加強系統運行維護管理”���、“努力提升網絡安全保障水平”和“積極培育自主研發能力”四大類����,合計共21項工作任務��。
首先����,著力提升信息技術治理能力�。包含6項工作任務:一是壓實網絡安全管理責任�����。要求期貨公司建立健全公司網絡和信息安全管理制度體系���,明確相關責任人���、責任部門及職責分工���。第一責任人原則上由公司主要負責人擔任��,直接責任人由公司分管信息科技工作的高級管理人員擔任�。二是強化信息技術組織架構作用�。要求公司信息技術治理委員會要吸納科技����、業務�、合規�����、風險管理等條線人員�,定期召開會議���。三是制定信息科技和網絡安全規劃�����。要求期貨公司結合公司實際情況����,制定配套的信息科技和網絡安全工作規劃���。四是持續加大信息技術投入����。要求公司年度信息技術預算中�,網絡安全相關預算占新系統建設預算比例不低于5%��。行業總體信息技術投入年均增長率力爭達到20%��,頭部公司信息技術投入年均增長率力爭達到30%�。五是重視信息科技人員隊伍建設�����。六是優化信息技術管理體系�����。
其次���,持續加強系統運行維護管理���。包括5項工作任務:一是評估完善信息技術制度流程��。期貨公司應對照法律法規��、監管規定��、自律規則制修訂情況�,每年至少開展一次信息技術管理制度和流程評估��,根據評估結果及時開展制度制修訂����。二是加強制度執行落實和IT審計����。相關執行情況記錄至少保存1年�����,每年至少開展1次覆蓋采購��、運維�����、開發���、重大變更等關鍵環節的內部審計或外部審計���。三是運用新技術提升運維效能�。要求積極研究使用自動化運維工具降低人工操作風險����,嘗試建設一體化運維監控監測平臺�,積極引入運維數據可視化等技術等�。四是加強災備能力建設���。五是提升應急處置能力���。
再者����,努力提升網絡安全保障水平�。其中有6項工作任務:一是評估完善網絡安全架構�。要求全面盤點信息技術資產��,定期梳理評估網絡安全架構體系�����。二是健全數據安全管理體系�。期貨公司應建立健全數據安全管理體系���,持續加強數據安全管理���。三是落實網絡安全等級保護要求�����。2023年���,所有期貨公司應完成核心交易系統的定級及備案工作��,并按要求開展等保測評�����;2024年����,完成全部信息系統的定級及備案工作�����,并按要求開展等保測評����。四是加快商用密碼應用上線��。五是加強安全威脅感知能力建設����。六是提升全員網絡安全意識����。期貨公司要建立全員安全教育培訓機制�,每年常態化開展全員安全意識教育培訓不少于4學時�,并將員工參加培訓情況納入年度考核���。
最后�,積極培育自主研發能力����。具體有4項工作任務:一是培育自有研發團隊和能力���。二是加強軟件研發全過程管控����。三是開展代碼審計和檢測認證�。要求期貨公司進一步加強軟件源代碼安全管理�,將代碼審計工作制度化��、流程化�。四是推動核心系統架構優化升級���。要求期貨公司主動聯合相關技術廠商加強核心交易系統架構研究和優化�,探索研發快速�����、安全����、高效���、靈活的新一代核心交易系統架構�����。
隨《提升計劃》下發的還有一份《任務清單》���。根據這份清單����,壓實網絡安全管理責任��、強化信息技術組織架構作用���、制定信息科技和網絡安全規劃����、提升全員網絡安全意識四項任務要求今年完成�����,評估完善信息技術制度流程�����、加強災備能力建設等四項任務要求2024年完成��,其余任務要求2025年完成或作為長期任務�����、未設具體完成時間�����。
法律人士這樣建議
值得注意的是�,本次除了中期協發布《期貨公司網絡和信息安全三年提升計劃》�,中證協也印發了《證券公司網絡和信息安全三年提升計劃(2023-2025)》����,證券期貨業的網絡和信息安全工作被進一步加強��。
中倫律師事務所合伙人劉新宇指出�,證券期貨機構作為持牌金融機構��,其所開展的數據處理活動具有敏感度高��、個人信息數量多��、涉及信息系統復雜等特點��?��;谏鲜鎏攸c�,證券期貨行業應當在開展信息安全工作過程中著重關注以下兩大要點:
一是個人信息處理���。證券期貨公司在開展經紀業務的過程中�����,會直接或間接收集大量的投資者的個人信息��,其中不乏銀行賬戶����、人臉照片等敏感個人信息�,因此個人信息處理行為的合規性是其開展信息安全工作時的第一大合規要點��。2022年4月���,國家移動互聯網應用安全管理中心(CNAAC)曾點名12家證券公司APP在個人信息處理方面存在合規瑕疵�,可以預見后續監管機關將會持續關注證券期貨公司的個人信息處理合規情況��。
二是網絡數據安全���。在《網絡安全法》以及《數據安全法》出臺后����,許多人對這兩部法律的實效性提出了質疑��,認為其部分規定缺少具體的落地指南��。但隨著2023年2月《證券期貨業網絡和信息安全管理辦法》的出臺��,證券期貨行業網絡數據安全相關事宜既有了詳細的落地指引����,又有了明確的執法依據����?�?梢灶A見���,證券期貨機構的信息系統建設���、網絡安全等級保護情況��、數據容災備份等網絡數據安全領域內的事項將成為監管機關重點關注的對象�,各證券期貨公司應當提早制定并落實合規計劃�����,降低執法風險�。
他還建議證券期貨機構提高自身信息技術能力�����;加強與外部機構在網絡信息安全方面的合作��,定期聘請外部機構對公司核心系統在壓力測試�、信息系統容量等方面進行IT審計�����,分析其中潛在的合規問題�,制定并落實相應的解決方案�;制定完善的內控制度�����,與法律法規和監管規定做好銜接�����,建立完善的個人信息保護與網絡數據安全內控制度�����,同時進一步加強內控制度執行情況現場及非現場檢查�,確保其有效執行����。
責編:楊喻程
校對:陶謙
聲明:證券時報力求信息真實���、準確��,文章提及內容僅供參考�,不構成實質性投資建議����,據此操作風險自擔
下載“證券時報”官方APP��,或關注官方微信公眾號���,即可隨時了解股市動態���,洞察政策信息���,把握財富機會�。
