一、出台背景

经过5个月左右的意见征求之后，中国证券业协会于2023年6月9日正式印发《证券公司网络和信息安全三年提升计划（2023-2025）》（以下简称《提升计划》）。《提升计划》与今年5月1日正式实施的《证券期货业网络和信息安全管理办法》（以下简称《管理办法》）一脉相承，从行业自律和督导的角度推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设，给证券公司的网络和信息安全建设提供了方向指导和实施路径参考。

《提升计划》共包含六类31项主要任务要求，形成32项具体任务清单，主要聚焦在科技治理水平、科技投入机制、信息系统架构规划、系统研发测试管理、系统运行保障和信息安全防护等方面。

二、《提升计划》与征求意见稿的主要变化

通过将正式发布的《提升计划》与征求意见稿进行对比，摘取和总结了部分重要的区别，具体如下：

三、《提升计划》落地要点

证券公司在对照和推进落地《提升计划》时，可重点围绕以下要点制定切实可行的方案，以期网络和信息安全建设取得扎实成效。

1. 加强顶层设计，制定网络和信息安全发展规划

证券公司在2023年底前根据公司的整体战略规划，制定及完善信息科技战略发展规划，合理加大科技资金和人员投入。规划要考虑到安全的全局性，涵盖网络和信息安全领域，或者单独制定网络和信息安全发展规划，囊括安全治理体系、安全管理体系、安全技术体系、安全开发和运营体系、安全验证体系等，从组织安全、人员安全、安全制度、数据安全、供应链安全、网络安全、移动安全、云安全、开发安全、应用安全等安全专项维度进行执行落实，保护证券公司的基础设施、技术平台、应用平台、业务应用等对象。

2. 完善系统架构建设，推进技术升级和创新

证券公司在2023年底前对公司的系统和架构资产进行规划设计和统一管理，设立专业的组织与人员岗位。企业级应用上加强业务一体化服务平台建设，核心系统的技术架构向分布式、低时延、开放技术架构转型，向分布式云、云原生架构升级。同时，证券公司要加强自主研发能力，深入开展信息技术应用创新及密码应用相关工作。另外针对重要数据，证券公司要做全生命周期的安全防护和风险评估，做到动态监控、持续优化，将数据安全作为常态化工作。

3. 强化需求分析、研发、测试、运行、应急等全流程安全保障能力

第一步，为了提升研发效能，建立完善需求设计及分析机制，对市场变化做到快速响应；第二步，通过建设统一的源代码管理工具和研发运营一体化工具平台，将安全手段嵌入各环节，建立标准的安全开发规范，做好开源代码检测和审计；第三步，建立完备的系统测试管理机制，建设测试管理平台，借助自动化测试手段提升效率；第四步，定期开展全链路性能压测，进行持续的安全监测，加强信息系统上下线、变更等风险，建设一体化运维监控平台；第五步，健全组织级应急响应管理机制，建设自动化、平台化的故障指挥协作系统以及数据备份服务。