1月份开始，中国证券业协会

向各大券商下发了一份征求意见稿

《网络和信息安全三年提升计划(2023—2025)》

(资料图片仅供参考)

↓

这份文件干货满满

好比是未来三年（2023-2025）

证劵公司数字化转型建设指路明灯

因为，里面非常清晰地列出了

↓

文件原件内容超全面，文末可下载

虽然是下发给各大券商看的

但从IT人视角出发

有几点引起了大家伙的普遍关注

↓

文中提到

合理加大科技资金投入，即投钱

加强科技人才队伍建设，即投人

提到了三大架构的建设方向

应用架构丨数据架构丨技术架构

并建立一个【架构管理】机制

①应用架构：强调提高架构复用性，防止系统的重复建设；降低软件开发、系统维护和升级等方面的费用；

②数据架构：强调持续加强在数据全生命周期的各阶段，建立并落实技术防护能力；

③技术架构：强调加强核心系统的技术攻关，鼓励有条件的证券公司积极推进新一代核心系统的建设和转型。

鼓励有条件的证券公司

积极推进新一代核心系统的建设

并开展转型升级工作

即两方面工作，建设+转型

↓

②鼓励上云

信息系统上云占比不低于60%

①鼓励有条件的证券公司加快信息系统上云，通过云计算平台承载及运行的信息系统比例不低于 60%；

② 由容器等云平台承载的云原生系统比例不低于 10%。

证劵新一代核心系统的建设

应具备以下几个特征

↓

提升自主掌控能力

两种最基本方式

↓

①鼓励证劵公司自研

鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。

②外购

也得确保对关键技术的掌控

对于外购系统，要求厂商提供完整的系统技术资料，确保深入掌握系统的技术架构与关键技术环节。

不管自研还是外购代码

全部代码100%审计

①制定及完善涵盖自研系统和外购类系统的代码审计规范。

②外购系统的代码审计，根据系统交付是否包含源代码，决定是否通过安全代码审计检查或要求供应商提供代码审计报告。

重要系统新上线或重大变更

重要信息系统的自动化测试比例不低于整体测试比例 30%

提升代码【开发效率】及安全

①第一方面研发规范制定；

②第二方面研发工具建设，建设统一的源代码管理工具、标准化的研发运维一体化工具。

如果找第三方进行合作

那么必须具备强风险管控能力

↓

事前，对第三方充分评估

全周期，持续性监管第三方

①持续对第三方系统开展全方位的安全检测监控，按要求提供代码安全扫描报告，及时解决发现的代码安全问题，修复系统运行过程中发现的漏洞...

确保第三方系统

不记录、不存储、不更改

相关业务及客户数据及资料

①对【所有】信息系统，开展等保定级

②对【重要】信息系统

按照监管机构的指导意见将定为三级或二级

实行【零容忍】

①漏洞分级，明确分级分类标准；

②实施应用威胁建模，做好应用安全架构设计；

③使用白盒检测、黑盒检测、灰盒检测和人工渗透相结合的技术手段，检测代码安全缺陷和引入的第三方组件漏洞；

④与供应链厂商建立漏洞共享及应急响应机制。

提升安全【攻击防控】能力

建设统一的【安全运营中心】

加大安全响应【自动化能力】的建设

确保风险隐患【动态清零】

完善移动客户端【APP认证】机制

鼓励委托第三方机构开展安全认证

①参照行业 App 安全标准要求开发运营 App；

②确保证券公司自营 App 在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准，切实保护投资者个人信息安全。

数据使用上“依法合规、最小必要”

所有授权操作均符合“最小授权”原则

具备多重身份认证能力

共享数据时，需要做到

数据可读不可存、数据可用不可见、数据可算不可识

国家“十四五”规划对金融业发展的要求

↓

开年大吉，这份文件恰逢其时

指导性强、落地性强

如需下载原件

可在特大号公众号后台回复：88888