6月9日,中国期货业协会(简称中期协)公告称,近日向期货公司会员发布《期货公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》),旨在引导期货公司持续提升网络安全工作能力和水平,防范化解系统性风险,为服务市场功能进一步发挥和行业高质量发展提供坚实保障。
根据中期协公告,《提升计划》围绕提升期货公司信息技术治理能力,加强系统运行维护管理,提升网络安全保障水平,培育自主研发能力四方面实际需要,提出了工作任务并配套制定了保障措施。不过,公告并未披露具体内容。
券商中国记者独家从业内获得了《提升计划》全文,随《提升计划》下发的还有一份《任务清单》。相关文件显示,共有四大类21项工作任务。其中,压实网络安全管理责任、强化信息技术组织架构作用、制定信息科技和网络安全规划、提升全员网络安全意识四项任务要求今年完成。就具体工作来看,年内需要期货公司完成的包括明确相关责任人、制定配套工作规划、建立全员安全教育培训机制等。
四大类21项工作任务、4项要求年内完成
券商中国记者获得的《提升计划》全文显示,主要任务有“着力提升信息技术治理能力”、“持续加强系统运行维护管理”、“努力提升网络安全保障水平”和“积极培育自主研发能力”四大类,合计共21项工作任务。
首先,着力提升信息技术治理能力。包含6项工作任务:一是压实网络安全管理责任。要求期货公司建立健全公司网络和信息安全管理制度体系,明确相关责任人、责任部门及职责分工。第一责任人原则上由公司主要负责人担任,直接责任人由公司分管信息科技工作的高级管理人员担任。二是强化信息技术组织架构作用。要求公司信息技术治理委员会要吸纳科技、业务、合规、风险管理等条线人员,定期召开会议。三是制定信息科技和网络安全规划。要求期货公司结合公司实际情况,制定配套的信息科技和网络安全工作规划。四是持续加大信息技术投入。要求公司年度信息技术预算中,网络安全相关预算占新系统建设预算比例不低于5%。行业总体信息技术投入年均增长率力争达到20%,头部公司信息技术投入年均增长率力争达到30%。五是重视信息科技人员队伍建设。六是优化信息技术管理体系。
其次,持续加强系统运行维护管理。包括5项工作任务:一是评估完善信息技术制度流程。期货公司应对照法律法规、监管规定、自律规则制修订情况,每年至少开展一次信息技术管理制度和流程评估,根据评估结果及时开展制度制修订。二是加强制度执行落实和IT审计。相关执行情况记录至少保存1年,每年至少开展1次覆盖采购、运维、开发、重大变更等关键环节的内部审计或外部审计。三是运用新技术提升运维效能。要求积极研究使用自动化运维工具降低人工操作风险,尝试建设一体化运维监控监测平台,积极引入运维数据可视化等技术等。四是加强灾备能力建设。五是提升应急处置能力。
再者,努力提升网络安全保障水平。其中有6项工作任务:一是评估完善网络安全架构。要求全面盘点信息技术资产,定期梳理评估网络安全架构体系。二是健全数据安全管理体系。期货公司应建立健全数据安全管理体系,持续加强数据安全管理。三是落实网络安全等级保护要求。2023年,所有期货公司应完成核心交易系统的定级及备案工作,并按要求开展等保测评;2024年,完成全部信息系统的定级及备案工作,并按要求开展等保测评。四是加快商用密码应用上线。五是加强安全威胁感知能力建设。六是提升全员网络安全意识。期货公司要建立全员安全教育培训机制,每年常态化开展全员安全意识教育培训不少于4学时,并将员工参加培训情况纳入年度考核。
最后,积极培育自主研发能力。具体有4项工作任务:一是培育自有研发团队和能力。二是加强软件研发全过程管控。三是开展代码审计和检测认证。要求期货公司进一步加强软件源代码安全管理,将代码审计工作制度化、流程化。四是推动核心系统架构优化升级。要求期货公司主动联合相关技术厂商加强核心交易系统架构研究和优化,探索研发快速、安全、高效、灵活的新一代核心交易系统架构。
随《提升计划》下发的还有一份《任务清单》。根据这份清单,压实网络安全管理责任、强化信息技术组织架构作用、制定信息科技和网络安全规划、提升全员网络安全意识四项任务要求今年完成,评估完善信息技术制度流程、加强灾备能力建设等四项任务要求2024年完成,其余任务要求2025年完成或作为长期任务、未设具体完成时间。
法律人士这样建议
值得注意的是,本次除了中期协发布《期货公司网络和信息安全三年提升计划》,中证协也印发了《证券公司网络和信息安全三年提升计划(2023-2025)》,证券期货业的网络和信息安全工作被进一步加强。
中伦律师事务所合伙人刘新宇指出,证券期货机构作为持牌金融机构,其所开展的数据处理活动具有敏感度高、个人信息数量多、涉及信息系统复杂等特点。基于上述特点,证券期货行业应当在开展信息安全工作过程中着重关注以下两大要点:
一是个人信息处理。证券期货公司在开展经纪业务的过程中,会直接或间接收集大量的投资者的个人信息,其中不乏银行账户、人脸照片等敏感个人信息,因此个人信息处理行为的合规性是其开展信息安全工作时的第一大合规要点。2022年4月,国家移动互联网应用安全管理中心(CNAAC)曾点名12家证券公司APP在个人信息处理方面存在合规瑕疵,可以预见后续监管机关将会持续关注证券期货公司的个人信息处理合规情况。
二是网络数据安全。在《网络安全法》以及《数据安全法》出台后,许多人对这两部法律的实效性提出了质疑,认为其部分规定缺少具体的落地指南。但随着2023年2月《证券期货业网络和信息安全管理办法》的出台,证券期货行业网络数据安全相关事宜既有了详细的落地指引,又有了明确的执法依据。可以预见,证券期货机构的信息系统建设、网络安全等级保护情况、数据容灾备份等网络数据安全领域内的事项将成为监管机关重点关注的对象,各证券期货公司应当提早制定并落实合规计划,降低执法风险。
他还建议证券期货机构提高自身信息技术能力;加强与外部机构在网络信息安全方面的合作,定期聘请外部机构对公司核心系统在压力测试、信息系统容量等方面进行IT审计,分析其中潜在的合规问题,制定并落实相应的解决方案;制定完善的内控制度,与法律法规和监管规定做好衔接,建立完善的个人信息保护与网络数据安全内控制度,同时进一步加强内控制度执行情况现场及非现场检查,确保其有效执行。
责编:杨喻程
校对:陶谦