1、证券行业信息平安问题诠释 。证券行业作为金融效劳业,是一个高度依赖信息技术的行业。信息平安是维护资本市场稳定的前提和根底,没有信息平安就没有资本市场的稳定。介绍了维护好证券行业信息平安的重要意义,分析了行业信息平安现状以及存在的问题,并提出了相应的对策。 关键词:证券行业信息平安网络平安体系 近年来,我国资本市场开展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成局部,也成为老百姓重要的投资理财渠道。资本市场的稳定健康开展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融平安的大局。证券行业作为金融效劳业,高度依赖信息技术,而信息平安是维护资本市场稳定的前提和根底。没有
2、信息平安就没有资本市场的稳定。 目前.国内外网络信息平安问题日益突出。从资本市场看,近年来,随着市场快速开展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络平安事件、公共平安事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息平安应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息平安事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。 1证券行业倍息平安现状和存在的问题 1.1行业信息平安法规和标准体系方面 健全的信息平安法律法规和标准体系是确保证券行业信息平安
3、的根底。是信息平安的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后发布了一系列信息平安法规和技术标准。其中包括2个信息技术管理标准、2个信息平安等级保护通知、1个信息平安保障方法、1个信息通报方法和2023个行业技术标准。行业信息平安法规和标准体系的初步形成,推动了行业信息化建设和信息平安工作向标准化、标准化迈进。 虽然我国涉及信息平安的标准性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息平安保障工作的开展需要,行业信息平安工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是标准和标准互通性和
4、协调性不强,局部标准和标准的可执行性差;三是局部标准和标准已不适应,无法应对某些新型信息平安的威胁;四是局部信息平安标准和标准在行业内难以得到落实。 1.2组织体系与信息平安保障管理模型方面 任何平安管理措施或技术手段都离不开人员的组织和实施,组织体系是信息平安保障工作的核心。目前,证券行业采用“统一组织、分工有序的信息平安工作体系,分为决策层、管理层、执行层。 为加强证券期货业信息平安保障工作的组织协调,建立健全信息平安管理制度和运行机制,切实提高行业信息平安保障工作水平,根据证监会公布的证券期货业信息平安保障管理暂行方法,参照isoiec27001:2023,提出证券期货业信息平安保障管理
5、体系框架。该体系框架采用立方体架构.顶面是信息平安保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息平安保障目标所采取的措施和方式。 1.3it治理方面 整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,躲避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化工程的有效管理,保证信息化工程建设的质量和应用效果,使有限的投入取得更大的绩效。 2022年lt治理理
6、念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。 1.4网络平安和数据平安方面 随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,202223年我同证券网上交易量比重已超过总交易量的80。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统平安,成为制约行业平稳、平安开展的障碍。此,
7、维护网络和数据平安成为行业信息平安保障工作的重要组成局部。近年来,证券行业各机构采取了一系列措施,建立了相对平安的网络平安防护体系和灾舴备份系统,基木保障了信息系统的平安运行。但细追究起来,我国证券行业的网络平安防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络平安防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据平安重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息平安意识有待提高。 1.5it人才资源建设方面 近20年的开展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断开展壮大。据统计,202223年初,在整个证
8、券行业中,20233家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90,总体上到达了行业协会发布的it治理工作指引中“it工作人员总数原那么上应不少于公司员工总人数的6的最低要求。目前,证券行业的it队伍肩负着信息系统平安、平稳、高效运行的重任,it队伍建设是行业信息平安it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育缺乏等问题,此行业的人才培养有待加强。 2采取的对策和措施 2.1进一步完善法规和标准体系 首先,在法规规划上,要统筹兼顾,制定科学的信息技术标准和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息平安标准和法规体系层次。行业信
9、息平安标准和法规体系初步划分为3层:第一层是管理方法等巾同证监会部门规章;第二层是证监会相关部门制定的管理标准等标准性文件;第三层是技术指引等自律规那么,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾标准和开展,重视法规的可行性。最后,在法规实施上.要坚持标准和指引相结合,重视监督检查和责任落实。 2.2深入开展证券行业it治理工作 2.2.1提高it治理意识 中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机
10、构的it治理意识,提高他们it治理的积极性。 2.2.2通过设立it治理试点形成以点带面的示范效应 根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,标准信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。 2.3通过制定行业标准积极落实信息平安等级保护 行业监管部门在推动行业信息平安等级保护工作中的作用
11、非常关键.应进一步明确监管部门推动行业信息平安等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统平安等级保护情况进行测评,在测评环节一旦发现信息系统的缺乏,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行催促。 2.4加强网络平安体系规划以提升网络平安防护水平 2.4.1以等级保护为依据进行统筹规划 等级保护是围绕信息平安保障全过程的一项根底性的管理制度,通过将等级化的方法和平安体系规划有效结合,统筹规划证券网络平安体系的建设,建立一
12、套信息平安保障体系,将是系统化地解决证券行业网络平安问题的一个非常有效的方法。 2.4.2通过加强网络访问控制提高网络防护能力 对向证券行业提供设备、技术和效劳的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务平安区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的平安加固.降低系统漏洞带来的平安风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措
13、施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的平安性。 2.4.3提高从业人员平安意识和专业水平 目前在证券行业内,从业人员的网络平安意识比较薄弱.必要时可定期对从业人员进行平安意识考核,从行业内部强化网络平安工作。要加强网络平安技术人员的管理能力和专业技能培训,提高行业网络平安的管理水平和专业技术水平。 2.5扎实推进行业灾难备份建设 数据的平安对证券行业是至关重要的,数据一旦丧失对市场各方的损失是难以估量的。无论是美国的“911事件,还是我国202223年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的根底上,针对
14、自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。 2.6抓好人才队伍建设 证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、开展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立标准有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。 3结语 平时多流汗,战时少流血。市场监管者、组织者和参与者只有通过长期不懈的共同努力,才能使证券期货信息系统在全面支持业务开展需求的前提下,向着平安、高效、经济的方向不断完善和开展,才能根本满足资本市场不断创新、持续标准、稳定运行的需要,为资本市场的快速、稳定开展提供坚实的保障。 第9页 共9页