随着2023年的到来,中国证券业协会把把推进证券机构的网络与信息安全能力建设提上日程,给各证券公司分发了一份名为《证券公司网络和信息安全三年提升计划(2023-2025)总结评估调研问卷》的文件,意味着这次为期三年的专项行动到了验收成果的时候。这次评估可不仅仅是写个报告这么简单,它是要根据之前规划好的详细路径图,对整个行业的科技安全体系做一次全面、深入的检查,看看各家机构能不能抵挡得住各种风险。 这个评估的框架其实是从2023年初启动的那个三年提升计划里来的。当初就是为了让大家都往最高标准看齐,把网络和信息安全这块儿彻底加固。这次问卷把原来设定的六大核心方向给拆解了一下,分成了71项具体任务。这71项任务里头,有55项是必须完成的硬任务,还有16项是鼓励大家去做得更好的任务。这就表明了监管层既要守住安全的底线,又想鼓励大家多去做些前瞻性的布局和追求卓越的事情。 从问卷里能看出来监管层的心思。科技治理和战略投入被当成了最基本的石头——那就是要把科技治理从部门里拎出来,当成公司的核心战略来做。像完善规划、建架构这些9个大项全都是硬性要求,必须得做到。在投入机制这块儿也挺实在,直接给了指标。比如要求科技投入占净利润或者收入多少比例,还要提高专业人员在员工里的占比。业内专家说,一直投钱不光是为了合规,更是为了搞创新、优化客户体验、提高效率和省钱。现在科技这么火,尤其是人工智能在改变金融的形态时,这种前瞻性的布局特别重要。 另外系统架构要自己掌控好还有研发测试要安全闭环也被当成了核心的抓手。在架构掌控上有8项任务是大家必须关注的,比如建立机制、转型架构还有提高核心系统自主能力。在研发测试环节也不能马虎,需求分析、代码审计、测试管控这9项全部都是必须完成的硬性要求。这说明监管层的思路变了,不再是出了事再补救,而是从一开始设计开发的时候就把安全基因给植进去了。 最后运行保障还有信息安全防护体系是这次评估的重头戏。在全部71项任务里有40项都是关于这两个方面的。运行保障方面覆盖了变更管理、应急响应、性能监控这些关键环节的19个细节。特别是健全应急机制和备份能力,在最近大家出了一些系统稳定性的事后显得特别重要。在防护层面有21项任务涵盖了等级保护、漏洞管理这些内容。“持续加强态势感知”和“加强数据管理”被重点强调了一下。 这次评估既是对过去三年的一次大盘点也是对未来发展的一次动员。评估依据的71项指标就像一份详细的清单一样,不仅是给大家提供了一把尺子让自己去量一量,也给整个行业指了路。随着评估结果出来并被运用起来以后,证券业肯定能把金融安全这道堤坝筑得更牢。在保证市场平稳运行、保护投资者利益的基础上,就能更稳当地点开金融科技这波浪潮了。