快捷导航 
时间:2023-06-13 17:39:02来源:财联社
财联社6月13日讯(记者吴雨其)中基协最新发布《基金公司网络和信息安全三年提升计划(2023-2025)》,对信息技术投入与相应网络和信息安全人员人数要求都做出了明确安排。
上述提升计划中提出,基金业网络和信息安全保障水平明显提升,行业从业人员网络和信息安全意识明显增强,建立与机构发展愿景相适应的网络和信息安全战略,科技创新应用不断促进网络和信息安全稳步提升,为行业数字化转型及高质量发展提供了有力支撑的总体目标。
“提升计划”要求基金管理公司应于2023年底前完成本机构网络和信息安全三年总体规划的编制,明确网络和信息安全可达目标,推动做好网络和信息安全治理,制定网络和信息安全可实施任务,采取网络和信息安全可行措施,每年至少开展一次总体规划的评估修订,保证规划持续满足业务发展及网络和信息安全管理要求。
“提升计划”对基金公司的信息技术资金投入提出了新要求:
公司当年年度营业收入大于10亿元(含),每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的5%;
营业收入小于10亿元且大于2亿元(含),每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的8%;
营业收入小于2亿元,每年度信息技术资金投入应不少于1500万元。
人员配置方面也有明确要求:
基金管理公司自有信息技术人员总数,原则上应不少于员工总人数的8%,且不低于4人;
其中,信息技术人员数量超过100人,应至少配置4名网络和信息安全人员;
超过50人,应至少配置3名网络和信息安全人员;
低于50人,应至少配置2名网络和信息安全人员;低于5人的,应至少配置1名网络和信息安全人员。
相较于《征求意见稿》时要求的信息技术人员超过100人时至少配置3名安全专职人员,少于50人要求配置1名安全专职人员,正式计划有较大幅度提升。
记者了解到,基金公司的信息技术人员人数分化较大,一些头部基金公司IT人员约在几百人以上,加上外包人员可能更多,分设有交易系统、估值系统、TA系统以及信息安全等。一些规模较小的基金公司,IT人员仅二三十人。有业内人士表示,近年来,随着金融科技的迅猛发展,各基金公司对金融IT人才的需求日益激增。
中基协表示,未来三年,希望公募基金管理公司统筹发展与安全,以“提升计划”作为开展自身网络和信息安全工作的行动指南,进一步筑牢网络和信息安全基石,支撑基金行业高质量发展。中基协将持续做好基金行业网络和信息安全相关培训、交流、评估等工作,积极培育公募基金管理公司网络和信息安全健康发展新生态。
记者同时了解到,这类要求并非首提,技术与人员投入对一些小基金公司来说难度较大,过往监管在执行中也会留有弹性。
对基金公司提出网络和信息安全的重点任务
网络和信息安全是基金管理公司不可忽视的重要领域。为了应对不断增长的网络威胁和保护敏感信息的安全,公司需要制定全面的网络和信息安全管理规划。
“提升计划”指出健全网络和信息安全管理体系的关键要点包括剖析安全问题、明确目标、制定任务和措施、兼顾政策和公司实际情况,并持续进行安全评估。同时,建立安全组织架构、完善相关制度、开展安全培训和评估审计,以提升安全保障能力。这些步骤将帮助公司建立健全的安全体系,确保网络和信息安全得到有效管理和保护。
强化系统全流程研发管控体系方面,“提升计划”指出,基金管理公司在网络和信息安全管理中需要采取全流程的安全策略。关键要点包括制定全流程安全策略,需求阶段、设计阶段、实现阶段、变更阶段和上线阶段的安全策略。其中,公司需要推动网络和信息安全人员参与研发各环节,对重要信息系统进行必要的分离和脱敏处理。在需求、设计、实现、变更和上线阶段,公司需遵循安全规范和最佳实践,加强源代码安全检查、开源代码和第三方组件的管理,严格控制和规范变更实施,并进行上线前的合规审核和安全防护检验。这些安全策略将帮助公司建立可靠的信息系统安全防护能力,保护敏感数据和业务系统免受安全威胁。
“提升计划”还提到,基金公司需夯实网络和信息安全技术体系。具体来看,包括优化网络基础架构,明确网络安全边界和访问控制;构建纵深安全防御机制,使用多种技术设备来增强安全防护能力;加速更新信息系统架构,以处理海量数据和应对高并发业务;开展网络攻防演练,提高应对网络安全攻击的能力。
