浅谈中国证券行业信息安全问题

1、浅谈中国证券行业信息平安问题摘要：证券行业作为金融效劳业，是一个高度依赖信息技术的行业。信息平安是维护资本市场稳定的前提和根底，没有信息平安就没有资本市场的稳定。介绍了维护好证券行业信息平安的重要意义，分析了行业信息平安现状以及存在的问题，并提出了相应的对策。关键词：证券行业信息平安网络平安体系近年来，我国资本市场开展迅速，市场规模不断扩大，社会影响力不断增强成为国民经济巾的重要组成部分，也成为老百姓重要的投资理财渠道。资本市场的稳定安康开展，关系着亿万投资者的切身利益，关系着社会稳定和国家金融平安的大局。证券行业作为金融效劳业，高度依赖信息技术，而信息平安是维护资本市场稳定的前提和基矗没有信

2、息平安就没有资本市场的稳定。目前国内外网络信息平安问题日益突出。从资本市场看，近年来，随着市场快速开展，改革创新深化推进，市场交易形式日趋集巾化，业务处理逻辑日益复杂化，网络平安事件、公共平安事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强，交易时问内一刻也不能中断。加强信息平安应急丁作，积极采取预防、预警措施，快速、稳妥地处置信息平安事件，尽力减少事故损失，全力维护交易正常，对于资本市场来说至关重要。1证券行业倍息平安现状和存在的问题11行业信息平安法规和标准体系方面健全的信息平安法律法规和标准体系是确保证券行业信息平安的基矗是信息平

3、安的第一道防线。为促进证券市场的平稳运行，中国证监会自1998年先后发布了一系列信息平安法规和技术标准。其中包括2个信息技术管理标准、2个信息平安等级保护通知、1个信息平安保障方法、1个信息通报方法和10个行业技术标准。行业信息平安法规和标准体系的初步形成，推动了行业信息化建立和信息平安工作向标准化、标准化迈进。虽然我国涉及信息平安的标准性文件众多，但在现行的法律法规中。立法主体较多，法律法规体系庞杂而缺乏统筹规划。面对新形势下信息平安保障工作的开展需要，行业信息平安工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建立滞后，缺乏总体规划；二是标准和标准互通性和协调性不强，部分标准和

4、标准的可执行性差；三是部分标准和标准已不适应，无法应对某些新型信息平安的威胁；四是部分信息平安标准和标准在行业内难以得到落实。12组织体系与信息平安保障管理模型方面任何平安管理措施或技术手段都离不开人员的组织和施行，组织体系是信息平安保障工作的核心。目前，证券行业采用“统一组织、分工有序的信息平安工作体系，分为决策层、管理层、执行层。为加强证券期货业信息平安保障工作的组织协调，建立健全信息平安管理制度和运行机制，实在进步行业信息平安保障工作程度，根据证监会公布的?证券期货业信息平安保障管理暂行方法?，参照isie27001：2022，提出证券期货业信息平安保障管理体系框架。该体系框架采用立方体

5、架构顶面是信息平安保障的7个目的(机密性、完好性、可用性、真实性、可审计性、抗抵赖性、可靠性)，正面是行业组织构造侧面是各个机构为实现信息平安保障目的所采取的措施和方式。13it治理方面整个证券业处于高度信息化的背景下，it治理已直接影响到行业各公司实现战略目的的可能性，良好的it治理有助于增强公司灵敏性和创新才能，躲避it风险。通过建立it治理机制，可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题，自我评估it管理效果可以加强对信息化工程的有效管理，保证信息化工程建立的质量和应用效果，使有限的投入获得更大的绩效。2022年lt治理理念引入到我国证券行业，当前我国证券业企业的i

6、t治理存在的问题：一是it资源在公司的战略资产中的地位受到高层重视，但详细情况不清楚；二是it治理缺乏明确的概念描绘和参数指标；是lt治理的责任与职能不明晰。14网络平安和数据平安方面随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性，网上交易正逐渐成为证券投资者交易的主流形式。据统计，2022年我同证券网上交易量比重已超过总交易量的80。虽然交易系统与互联网的连接，方便了投资者。但由于互联网的开放性，来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统平安，成为制约行业平稳、平安开展的障碍。此，维护网络和数据平安成为行业信息平安保障工作的重要组成部

7、分。近年来，证券行业各机构采取了一系列措施，建立了相对平安的网络平安防护体系和灾舴备份系统，基木保障了信息系统的平安运行。但细追究起来，我国证券行业的网络平安防护体系及灾备系统建立还不够完善，还存存以下几方面的问题：一是网络平安防护体系缺乏统一的规划；二是网络访问控制措施有待完善；三是网上交易防护才能有待加强；四是对数据平安重视不够，数据备份措施有待改进；五是技术人员的专业才能和信息平安意识有待进步。15it人才资源建立方面近20年的开展历程巾，证券行业对信息系统日益依赖，行业it队伍此不断开展壮大。据统计，2022年初，在整个证券行业中，103家证券公司共有it人员7325人，占证券行业从业

8、总人数73990人的990，总体上到达了行业协会发布的it治理工作指引中“it工作人员总数原那么上应不少于公司员工总人数的6的最低要求。目前，证券行业的it队伍肩负着信息系统平安、平稳、高效运行的重任，it队伍建立是行业信息平安it作的根本保障。但是，it人才队伍仍然存在着构造不合理、后续教育缺乏等问题，此行业的人才培养有待加强。2采取的对策和措施21进一步完善法规和标准体系首先，在法规规划上，要统筹兼顾，制定科学的信息技术标准和标准体系框架。一是全面做好立法规划；二是建立科学的行业信息平安标准和法规体系层次。行业信息平安标准和法规体系初步划分为3层：第一层是管理方法等巾同证监会部门规章；第二

9、层是证监会相关部门制定的管理标准等标准性文件；第三层是技术指引等自律规那么，一般由交易所、行业协会在证监会总体协调下组织制定。其次，在法规制定上要兼顾标准和开展，重视法规的可行性。最后，在法规施行上要坚持标准和指引相结合，重视监视检查和责任落实。22深化开展证券行业it治理工作221进步it治理意识中国证券业协会要进一步加强it治理理念的教育宣传工作，特别是对会员单位高层指导的it治理培训，将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识，进步他们it治理的积极性。222通过设立it治理试点形成以点带面的示范效应根

10、据it治理模型的不同特点，建议证券公司在决策层使用isr模型，通过成立lt治理委员会，建立各部门之间的协调配合、监视制衡的责权体系；在执行层以bit模型、itfl模型等其他模型为补充，标准信息技术部门的各项控制和管理流程。同时，证监会指定一批证券公司和基金公司作为lt试点单位，进展it治理模型选择、剪裁以及组合的理论探究，形成一批成功施行it治理的优秀范例，以点带面地提升全行业的治理程度。23通过制定行业标准积极落实信息平安等级保护行业监管部门在推动行业信息平安等级保护工作中的作用非常关键应进一步明确监管部门推动行业信息平安等级保护工作的任务和工作机制，统一部署、组织行业的等级保护丁作，为该项

11、丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求，对照标准逐条落实。同时，应对各单位施行信息系统平安等级保护情况进展测评，在测评环节一旦发现信息系统的缺乏，被测评单位应立即制定相应的整改方案并施行且南相芙的监视机构进展催促。24加强网络平安体系规划以提升网络平安防护程度241以等级保护为根据进展统筹规划等级保护是围绕信息平安保障全过程的一项根底性的管理制度，通过将等级化的方法和平安体系规划有效结合，统筹规划证券网络平安体系的建立，建立一套信息平安保障体系，将是系统化地解决证券行业网络平安问题的一个非常有效的方法。242通过加强网络访问控制进步网络防护才能对向证券行

12、业提供设备、技术和效劳的it公司的资质和诚信加强管理，确保其符合国家、行业技术标准。根据网络隔离要求，要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务平安区域划分vlan或者采用网闸设备进展隔离；对主要的网络边界和各外部进口进展浸透测试，进展系统和设备的平安加固降低系统破绽带来的平安风险；在网上交易方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，进步对恶意代码的防护才能，同时采用技术手段，进步网上交易客户端软件使朋的平安性。243进步从业人员平安意识和专业程度目前在证

13、券行业内，从业人员的网络平安意识比较薄弱必要时可定期对从业人员进展平安意识考核，从行业内部强化网络平安工作。要加强网络平安技术人员的管理才能和专业技能培训，进步行业网络平安的管理程度和专业技术程度。25扎实推进展业灾难备份建立数据的平安对证券行业是至关重要的，数据一旦丧失对市场各方的损失是难以估量的。无论是美国的“911事件，还是我国2022年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。证券业要在学习借鉴国际经历的根底上，针对自身需要，对重要系统开展灾难备份建立。要继续推进证券、基金公司同城灾难备份建立，以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建立。制定各类相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效使应急工作与日常工作有机结合。26抓好人才队伍建立证券行业要采取实在可行的措施，建立吸引人才、留住人才、培养人才、开展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来，加强lt人员的岗位技能培训和业务培训，注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员进步程度、转变观念，行业各机构应采取采取请进来、派出去以及内部讲座等多种