近日,中国期货业协会近日向期货公司会员发布《期货公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》),旨在引导期货公司持续提升网络安全工作能力和水平,防范化解系统性风险,为服务市场功能进一步发挥和行业高质量发展提供坚实保障。
根据中期协公告,《提升计划》围绕提升期货公司信息技术治理能力,加强系统运行维护管理,提升网络安全保障水平,培育自主研发能力四方面实际需要,提出了工作任务并配套制定了保障措施。不过,公告并未披露具体内容。
随《提升计划》下发的还有一份《任务清单》。相关文件显示,共有四大类21项工作任务。其中,压实网络安全管理责任、强化信息技术组织架构作用、制定信息科技和网络安全规划、提升全员网络安全意识四项任务要求今年完成。就具体工作来看,年内需要期货公司完成的包括明确相关责任人、制定配套工作规划、建立全员安全教育培训机制等。
首先,着力提升信息技术治理能力。包含6项工作任务:一是压实网络安全管理责任。要求期货公司建立健全公司网络和信息安全管理制度体系,明确相关责任人、责任部门及职责分工。第一责任人原则上由公司主要负责人担任,直接责任人由公司分管信息科技工作的高级管理人员担任。二是强化信息技术组织架构作用。要求公司信息技术治理委员会要吸纳科技、业务、合规、风险管理等条线人员,定期召开会议。三是制定信息科技和网络安全规划。要求期货公司结合公司实际情况,制定配套的信息科技和网络安全工作规划。四是持续加大信息技术投入。要求公司年度信息技术预算中,网络安全相关预算占新系统建设预算比例不低于5%。行业总体信息技术投入年均增长率力争达到20%,头部公司信息技术投入年均增长率力争达到30%。五是重视信息科技人员队伍建设。六是优化信息技术管理体系。
其次,持续加强系统运行维护管理。包括5项工作任务:一是评估完善信息技术制度流程。期货公司应对照法律法规、监管规定、自律规则制修订情况,每年至少开展一次信息技术管理制度和流程评估,根据评估结果及时开展制度制修订。二是加强制度执行落实和IT审计。相关执行情况记录至少保存1年,每年至少开展1次覆盖采购、运维、开发、重大变更等关键环节的内部审计或外部审计。三是运用新技术提升运维效能。要求积极研究使用自动化运维工具降低人工操作风险,尝试建设一体化运维监控监测平台,积极引入运维数据可视化等技术等。四是加强灾备能力建设。五是提升应急处置能力。
再者,努力提升网络安全保障水平。其中有6项工作任务:一是评估完善网络安全架构。要求全面盘点信息技术资产,定期梳理评估网络安全架构体系。二是健全数据安全管理体系。期货公司应建立健全数据安全管理体系,持续加强数据安全管理。三是落实网络安全等级保护要求。2023年,所有期货公司应完成核心交易系统的定级及备案工作,并按要求开展等保测评;2024年,完成全部信息系统的定级及备案工作,并按要求开展等保测评。四是加快商用密码应用上线。五是加强安全威胁感知能力建设。六是提升全员网络安全意识。期货公司要建立全员安全教育培训机制,每年常态化开展全员安全意识教育培训不少于4学时,并将员工参加培训情况纳入年度考核。
最后,积极培育自主研发能力。具体有4项工作任务:一是培育自有研发团队和能力。二是加强软件研发全过程管控。三是开展代码审计和检测认证。要求期货公司进一步加强软件源代码安全管理,将代码审计工作制度化、流程化。四是推动核心系统架构优化升级。要求期货公司主动联合相关技术厂商加强核心交易系统架构研究和优化,探索研发快速、安全、高效、灵活的新一代核心交易系统架构。