一、证券行业网络和信息安全现状
近年来,在证券行业数字化加速发展和大数据、云计算、区块链和人工智能等新技术应用不断深入的大背景下,证券公司对网络和信息安全的重视程度大幅提升,组织架构和制度体系持续优化,信息技术投入逐年增加,行业网络和信息安全运行态势总体平稳。但随着业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务随之增加,上线变更操作更为频繁,行业网络和信息安全管理能力将面临更大挑战。
近年来证券公司信息安全风险事件仍有发生,证券行业网络和信息安全的重要性不容忽视。
二、证券行业网络和信息安全监管要求
在网络和信息安全相关的监管要求方面,中国证监会已经陆续发布了《证券期货业网络和信息安全管理办法》、《证券基金经营机构信息技术管理办法》、《证券期货业网络安全事件报告与调查处理办法》等部门规章,全国金融标准化技术委员会证券分技术委员会制订了《证券期货业网络安全等级保护基本要求》、《证券期货业信息系统运维管理规范》、《证券期货业信息系统审计规范》等行业标准。2021 年,中国证监会发布了《证券期货业科技发展“十四五”规划》,指明了行业网络和信息安全建设方向。
其中,中国证监会2023年2月发布、2023年5月正式实施的《证券期货业网络和信息安全管理办法》是证券行业网络与信息安全管理的重要里程碑;依据上述监管要求,中证协组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)》,为证券行业网络与信息安全管理发展指明了方向。
《证券期货业网络和信息安全管理办法》
在经过近11个月的意见征求之后,中国证监会于2023年2月27日正式发布了218号令《证券期货业网络和信息安全管理办法》,并于2023年5月1日起正式实施。该办法的主要内容包括网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置以及关键信息基础设施安全保护等,旨在进一步落实《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等相关法律法规要求,并为证券行业网络和信息安全管理提供了契合行业特性的高阶指导、具体要求以及量化标准。
《证券公司网络和信息安全三年提升计划(2023-2025)》
2023年6月9日,中证协印发《证券公司网络和信息安全三年提升计划(2023-2025)》,阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径,鼓励证券行业继续加大IT投入水平,鼓励证券公司积极推进新一代核心系统建设。
该《计划》聚焦证券公司网络和信息安全领域普遍存在的基础性和深层次问题,明确提出六大主要任务:一、持续提升科技治理水平;二、建立科学合理的科技投入机制;三、增强信息系统架构规划掌控能力;四、强化系统研发测试管理能力;五、夯实系统运行保障能力;六、健全信息安全防护体系。同时,此基础上形成六个专栏及32项重点任务清单,便于各券商更清晰明了参照执行。
三、证券行业网络和信息安全管理的挑战和应对
信息科技组织架构
证券公司普遍已设立IT治理委员会作为信息技术管理的最高决策机构并定期召开治理委员会会议,但部分证券公司IT治理委员会的履职更接近“IT项目建设评审委员会”的职能,IT治理委员会在网络和信息安全保障能力与发展方面的作用有限。同时,部分证券公司的合规及风险管理部门、内审稽核部门职能仍然以业务风险的管理为主,未配备具有IT背景的专业人员,网络和信息安全的风险管理更多是由信息科技部门“自我把控”,无法全面、有效地对网络和信息安全开展风险管理和专项审计。
证券公司应每年定期召开IT治理委员会会议,按照议事规则对信息科技重大事项进行沟通和决议,将重点任务分解到执行部门并明确评价标准,充分发挥IT治理委员会在网络和信息安全保障能力与发展方面的作用。同时,风险管理部可在操作风险日常监测项下增加必要的、可行的信息技术关键风险监测指标(KRI)并覆盖网络和信息安全风险,对“触线”的风险情况进行预警和分析,全面识别风险、揭示问题,并且每年定期组织各防线的网络和信息安全风险内部审查,建立闭环管理机制,确保风险能够得到有效控制以及问题得到妥当处置。
信息科技投入
随着资本实力的不断增强,证券公司近年来在信息科技方面的研发投入、软硬件采购投入及人力资源投入呈现快速增长势头,从证券公司近年来发布的信息技术投入指标数据可以看出,行业对信息科技重视程度不断提高,2017年至2021年期间证券公司在信息技术领域累计投入已接近1200亿元。中证协在公布的《证券公司 2021 年经营业绩指标排名情况》中,对105家证券公司的信息技术投入进行了排名,该指标平均数为 3.22亿元,其中,平均数以上的有26家公司,平均数以下的有79家公司。由此可见,证券行业信息科技投入头部化明显。
参照《证券公司网络和信息安全三年提升计划(2023-2025)》,证券公司应合理加大科技资金投入。有条件的证券公司在2023-2025三个年度信息科技平均投入金额不少于2023-2025三个年度平均净利润的10%或平均营业收入的7%,并保持稳定的资金投入。持续优化信息科技投入结构,加大研发类、网络和信息安全类等方面的投入,深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设。在加大科技投入的同时,证券公司也应当建立科技投入价值体系,应用于整体科技投入评估与单IT项目投入产出评估,分别评估公司整体IT投入效率与效能,定期评估机制把握科技整体方向,以及单个IT项目的合规性与价值度,将价值理念嵌入项目管理全生命周期。
网络安全等级保护
证券公司通常按照本公司对于信息系统的评级结果决定是否进行等级保护的测评工作。2023年,监管机构下发《证券期货业典型网络和信息系统定级表》对证券业网络和信息系统定级标准进行了指导。但部分证券公司因信息系统数量较多,目前仍未完成全部重要信息系统的等保定级、备案和测评工作。
证券公司应遵照等级保护定级和测评要求,落实网络安全等级保护制度,依法履行网络安全等级保护义务,按照国家和证券期货业定级标准和定级要求,向公安机关办理备案和变更;对所有信息系统开展等级保护定级,遵循网络安全等级保护基本要求和评测行业标准,明确信息系统的边界和安全保护等级,做好定级备案系统的安全建设和等保测评工作。
技术架构
证券公司目前普遍采用的是集中式核心交易系统。随着证券业务的快速发展以及交易品种的日渐丰富,集中式系统已集成了越来越多的业务逻辑,且集中交易架构普遍采用的是单体结构,系统的拆分及扩展能力有限,导致系统过于臃肿,难以承受数字化发展之重。同时,随着未来新一代分布式核心系统的探索和构建,证券公司的核心系统也将迎来“上云”潮流,作为一种新型技术,云服务对证券公司原有的研发、管理、运维等传统模式也将带来冲击。
证券公司应推进技术架构转型和升级,加强核心系统的技术攻关,具备条件的证券公司应积极推进新一代核心系统的建设,根据不同客户群开展核心系统技术架构的转型升级工作,从集中式专有技术架构向分布式、低时延、开放技术架构转型,确保系统具备高可用、高性能、低时延、易扩展及松耦合等特性;在云平台方面,具备条件的证券公司应利用分布式、云原生等先进技术对信息系统进行架构升级,提升系统的健壮性和扩展性,加快信息系统在私有云与行业云部署,提升系统云化比例,并在具体实施前制定相应的风险应急预案,控制系统建设风险。
系统上线测试
证券公司以往普遍依赖信息系统供应商提供开发服务,随着行业机构数字化转型工作的持续推进,信息系统的开发及变更频率更为密集,部分证券公司在系统上线测试相关的管控较为薄弱,如科技人员依赖于系统供应商提供的测试结果而未进一步独立开展技术测试(SIT),而业务需求部门配合IT部门完成用户接受测试(UAT)的主动性较低,且在开展测试工作前,未明确定义清晰的测试策略和目标,缺乏有效的测试案例,导致测试结果可能不准确或不全面。近年来,证券公司因交易软件宕机导致业务中断的问题屡上热搜,而监管调查后也经常认定为“信息系统升级论证测试不充分”。
证券公司应强化和细化重要信息系统的开发及变更流程中风控、测试、验证、应急、回退环节等要求,充分评估技术和业务风险,制定风险防控措施、应急处置和回退方案。同时,证券公司应组建与系统规模相匹配的测试人员或团队,设置合理的开发与测试人员配比。在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。
个人信息保护体系
我们观察到,头部证券公司已经在《个人信息保护法》出台后逐步建立起个人信息保护体系,但受制于个人信息海量化、泄露途径多样化等原因,个别证券公司的个人信息保护体系尚未健全。个人信息保护体系的建立除信息技术部门之外,还需要零售业务、合规管理等公司其他部门的参与,但在实际工作中,部分公司的非IT部门对于个人信息保护体系工作的参与程度较低。
证券公司应进一步开展个人信息保护法规的合规对标,完善个人信息保护体系,明确个人信息保护的相关要求,包括信息收集的告知同意、最小必要原则、生命周期管理、个人信息脱敏、个人生物特征信息等,对利用生物特征进行客户身份认证的必要性和安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,进而强制客户同意收集其个人生物特征信息。同时,证券公司应在明确数据权责的基础上,根据敏感性及重要性水平对数据进行分类分级,对个人信息在收集、存储、使用、加工、传输、提供、公开、删除过程中涉及的信息系统和流程控制分别进行设置和规范。
网络安全防护手段
证券公司普遍已部署了防火墙、入侵检测软件等网络安全防护设备,但网络和信息安全的攻击手段、高级威胁等不断演进,攻击目标也从批量无目的性,到更有组织目的性的定向攻击。证券公司一旦网络安全防护不当,不仅会面临着泄露,还可能会进一步造成业务停滞、收益损失、声誉受损和客户流失。大数据、云计算、区块链和人工智能等新技术应用在证券行业不断深入,但新技术提高金融服务质量和效率的同时,也使得更大范围的数据和个人信息曝露成为可能,加大了数据泄露和个*权人**益侵害风险。
证券公司应对照监管要求进一步强化网络安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,定期进行风险排查和修复,关注金融科技应用带来的新兴风险,增强安全事件的侦测和响应能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。
供应商管理
证券公司普遍已将为本公司提供重要信息系统开发及运维服务的供应商纳入了重要信息技术服务机构进行管理,并对其建立了一系列的管理流程,覆盖供应商的准入、尽职调查、人员管理及监控评价等环节,但部分证券公司对为其提供网络和信息安全管理服务的供应商的管控措施相对薄弱。另外,目前证券行业核心业务系统的主流供应商屈指可数,一定程度上,主流供应商处于不易被更换的地位,部分公司尚未制定因信息技术服务中断或终止而对供应商进行更换的流程及预案。
证券公司应定期开展供应商评估,对合作供应商的资质、服务质量等内容进行评估与审查,持续保障系统和服务的可靠性;加强供应商服务过程管控,依据监管要求做好供应商准入管理;加强供应商项目实施人员的背景调查,严格管控人员的操作环境权限,做好上岗前的安全教育培训等;强化交付过程中的质量验收、交付后服务支持及时响应与高效解决。同时,证券公司应加强核心系统的自主掌控能力,对于外购系统,应要求供应商提供完整的系统技术资料,并对证券公司技术人员开展全面的专业培训,确保深入掌握系统的技术架构与关键技术环节。
为了协助证券公司提升网络与信息安全合规能力, 毕马威可以提供个人信息安全保护体系建设咨询、网络安全合规咨询、等级保护制度咨询、网络和信息安全专项评估、信息技术全面/专项审计等服务。 通过结合毕马威以往的行业合规服务经验,以及《办法》的具体要求,从治理结构、制度与机制保障、基础设施与技术保障等多个维度出发,协助证券公司快速全面识别当前经营活动过程中的合规薄弱环节,明确未来的重点建设领域及完善方向,在关键领域给出切实可行的改进建议,切实帮助机构打好网络和信息安全合规基础。
*党**的二十大报告提出,要加快建设网络强国、数字中国。证券公司在推动数字赋能行业高质量发展的同时,也要加强行业网络和信息安全防护能力持续提升,牢牢守住不发生系统性金融风险的底线,加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险。只有筑牢网络和信息安全防线,才能为数字化发展保驾护航。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2023毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。