中基協(xié)日前發(fā)布《基金管理公司網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）》（下稱“提升計劃”或“計劃”），引發(fā)行業(yè)熱切關(guān)注。

這一“提升計劃”提出了“6體系1落實(shí)7保障”的工作思路與具體建議，設(shè)定了33項(xiàng)量化指標(biāo)，著力促進(jìn)公募基金管理公司持續(xù)加大信息技術(shù)資金及人員投入，持續(xù)健全網(wǎng)絡(luò)和信息安全管理體系，不斷強(qiáng)化系統(tǒng)全流程研發(fā)管控力度。

公募行業(yè)積極響應(yīng)，紛紛表示將以“提升計劃”作為開展自身網(wǎng)絡(luò)和信息安全工作的行動指南。受訪人士認(rèn)為，“提升計劃”為行業(yè)數(shù)字化轉(zhuǎn)型及高質(zhì)量發(fā)展提供有力支撐，公司正按照文件設(shè)計的方案和規(guī)程進(jìn)行查漏補(bǔ)缺，進(jìn)一步筑牢基金管理公司網(wǎng)絡(luò)和信息安全基石，支撐基金行業(yè)持續(xù)高質(zhì)量發(fā)展。

(資料圖片)

中基協(xié)對基金業(yè)提出新要求

強(qiáng)化信息安全迫在眉睫

“提升計劃”的發(fā)布成為近期公司關(guān)注焦點(diǎn)，這讓基金行業(yè)有了提升信息安全的“行動指南”。

據(jù)了解，此次“提升計劃”推出前，經(jīng)過了多輪的行業(yè)調(diào)研、研討，同時參考國內(nèi)外做法和標(biāo)準(zhǔn)，以及頭部基金公司的實(shí)踐，此次明確了基金管理公司網(wǎng)絡(luò)和信息安全建設(shè)的總體要求、基本原則和主要目標(biāo)，為基金公司制定網(wǎng)絡(luò)和信息安全戰(zhàn)略提供了指導(dǎo)。

對此，恒越基金IT運(yùn)營負(fù)責(zé)人表示，近年來，國家頒布了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等一系列網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)，中國證監(jiān)會也出臺了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》等部門規(guī)章和標(biāo)準(zhǔn)。在此背景下，中基協(xié)最新發(fā)布《基金公司網(wǎng)絡(luò)和信息安全三年提升計劃（2023-2025）》，結(jié)合基金行業(yè)網(wǎng)絡(luò)和信息安全的實(shí)際情況，對基金公司提升自身的信息安全能力作出了行動指南。

“2023至2025年是推進(jìn)基金管理公司網(wǎng)絡(luò)和信息安全治理現(xiàn)代化、促進(jìn)基金管理公司數(shù)字化轉(zhuǎn)型、助力基金管理公司高質(zhì)量發(fā)展的重要時期。提升計劃的發(fā)布非常及時，是網(wǎng)絡(luò)和信息安全工作的最新行動指南。”匯安基金金融科技部也指出。

德邦基金相關(guān)人士表示，“提升計劃”的發(fā)布將指導(dǎo)基金公司立足發(fā)展新形勢、貫徹發(fā)展新理念、滿足社會治理新需求，促進(jìn)基金公司顯著提升網(wǎng)絡(luò)和信息安全保障水平，建立與基金公司發(fā)展愿景相匹配的網(wǎng)絡(luò)和信息安全戰(zhàn)略，發(fā)揮科技創(chuàng)新應(yīng)用不斷促進(jìn)網(wǎng)絡(luò)和信息安全穩(wěn)步提升的作用，為行業(yè)數(shù)字化轉(zhuǎn)型及高質(zhì)量發(fā)展提供有力支撐。

值得一提的是，當(dāng)前金融行業(yè)面臨的網(wǎng)絡(luò)和信息安全風(fēng)險日益增加，是此次“提升計劃”出臺的重要背景。

紅土創(chuàng)新基金表示，“提升計劃”出臺的背景是當(dāng)前金融行業(yè)面臨的網(wǎng)絡(luò)和信息安全風(fēng)險日益增加，特別是在數(shù)字化轉(zhuǎn)型的背景下，金融機(jī)構(gòu)的信息系統(tǒng)安全問題已經(jīng)成為一個重要的社會治理問題。同時，隨著資本市場改革的深入推進(jìn)，基金公司作為重要的金融機(jī)構(gòu)，必須加強(qiáng)網(wǎng)絡(luò)和信息安全建設(shè)，保障資本市場的穩(wěn)定運(yùn)行。

公募基金前高管，財經(jīng)自媒體矩陣創(chuàng)始人孫萬龍也指出，“金融機(jī)構(gòu)保存客戶的身份和交易數(shù)據(jù)等核心信息，信息安全顯得尤為重要。近年來行業(yè)內(nèi)業(yè)出現(xiàn)多次信息安全事件，強(qiáng)化信息安全迫在眉睫?！?/p>

德邦基金指出，網(wǎng)絡(luò)和信息安全攻擊手段日新月異，基金公司所面臨的網(wǎng)絡(luò)和信息安全威脅也呈現(xiàn)多樣化的趨勢。作為普惠金融的重要載體，基金公司的網(wǎng)絡(luò)和信息安全與廣大投資者的信息和財產(chǎn)安全息息相關(guān)，因此，加強(qiáng)網(wǎng)絡(luò)和信息安全能力建設(shè)，防范化解網(wǎng)絡(luò)和信息安全風(fēng)險，已成為公募基金行業(yè)開創(chuàng)高質(zhì)量發(fā)展新局面的重要前提和基礎(chǔ)保障。

IT資金投入和人員規(guī)劃迎“硬指標(biāo)”

短期中小公司成本壓力大

相較以往，此次“提升計劃”對基金公司的信息技術(shù)資金投入和人員規(guī)劃提出了更高的要求。

從“提升計劃”來看，規(guī)定基金公司公司當(dāng)年年度營業(yè)收入大于10億元（含），每年度信息技術(shù)資金投入應(yīng)不少于最近三個財政年度平均營業(yè)收入的5%；營業(yè)收入小于10億元且大于2億元（含），每年度信息技術(shù)資金投入應(yīng)不少于最近三個財政年度平均營業(yè)收入的8%； 而營業(yè)收入小于2億元，每年度信息技術(shù)資金投入應(yīng)不少于1500萬元。

人員配置方面也有明確要求：基金管理公司自有信息技術(shù)人員總數(shù)，原則上應(yīng)不少于員工總?cè)藬?shù)的8%，且不低于4人；其中，信息技術(shù)人員數(shù)量超過100人，應(yīng)至少配置4名網(wǎng)絡(luò)和信息安全人員；超過50人，應(yīng)至少配置3名網(wǎng)絡(luò)和信息安全人員；低于50人，應(yīng)至少配置2名網(wǎng)絡(luò)和信息安全人員；低于5人的，應(yīng)至少配置1名網(wǎng)絡(luò)和信息安全人員。

這些條款引發(fā)行業(yè)熱議。“和過往相比，“提升計劃”對基金公司自有信息技術(shù)人員總數(shù)要求有所提高，對信息技術(shù)資金投入和技術(shù)人員團(tuán)隊建設(shè)提出了明確的標(biāo)準(zhǔn)?！焙阍交?IT運(yùn)營負(fù)責(zé)人介紹。

匯安基金金融科技部表示，在科技資金投入支持方面，相比較之前的制度規(guī)范，“提升計劃”以年度營業(yè)收入為參考指標(biāo)，按照分類指引的方式，對不同發(fā)展階段的基金管理公司提出了差異化的信息技術(shù)資源投入比例或最低投入要求。沒有“一把尺子”和“一刀切”，實(shí)際執(zhí)行中可操作性強(qiáng)。

對此紅土創(chuàng)新基金也稱是一個積極的變化，認(rèn)為信息技術(shù)在金融行業(yè)中的重要性越來越大，對于基金公司來說，信息技術(shù)的投入和人員規(guī)劃是非常關(guān)鍵的。

不過，每年最低1500萬的投入，也讓一些中小型基金公司倍感壓力。

“結(jié)合多家中小公司近幾年在網(wǎng)絡(luò)安全工作上的現(xiàn)狀，對于大多數(shù)中小公司而言，在費(fèi)用投入和系統(tǒng)建設(shè)上，很難完全滿足全面的安全體系建設(shè)的要求?！蹦持行⌒凸臼紫夹g(shù)官直言，“目前哪怕是最低標(biāo)準(zhǔn)的目標(biāo)，在小公司發(fā)展初期、尤其是還處于虧損的階段，也很難完成?！?/p>

德邦基金也表示，“提升計劃”對大、中、小不同規(guī)模的基金公司每年的IT預(yù)算及信息安全人員規(guī)模均作出了明確的底線規(guī)定。這個底線對很多基金公司而言，是過往實(shí)際投入的上限，因此短期內(nèi)可能對該部分基金公司，尤其是中小基金公司帶來一定的成本壓力。

德邦基金同時認(rèn)為，從長期看，投入的增加有助于基金公司進(jìn)一步夯實(shí)IT基礎(chǔ)，加強(qiáng)IT人員專業(yè)培訓(xùn)，從而提升網(wǎng)絡(luò)及信息安全的綜合保障能力，并進(jìn)一步推動基金行業(yè)更高質(zhì)量、更有效率、更為安全的發(fā)展。

紅土創(chuàng)新基金也稱，相比過往，這一投入比例和人員規(guī)劃的要求確實(shí)有所提高，但這也是行業(yè)發(fā)展的必然趨勢。公司將結(jié)合實(shí)際加大公司信息技術(shù)資金投入和人員規(guī)劃力度，不斷提升信息化水平和核心競爭力。

行業(yè)多維度發(fā)力網(wǎng)絡(luò)安全

投入能力、人才建設(shè)、重視程度等成為難點(diǎn)

在面對現(xiàn)今多樣化的網(wǎng)絡(luò)和信息安全威脅，基金行業(yè)已在多維度發(fā)力，朝著更高質(zhì)量和更高效率發(fā)展，不過也遭遇一些難點(diǎn)，如資金投入不足、人才團(tuán)隊建設(shè)難等。

“公司過往在制度保障、組織架構(gòu)、安全投入、系統(tǒng)建設(shè)、數(shù)據(jù)安全、備份及應(yīng)急演練、培訓(xùn)和審計等方面持續(xù)開展工作?！焙阍交餓T運(yùn)營負(fù)責(zé)人同時直言，面對現(xiàn)今多樣化的網(wǎng)絡(luò)和信息安全威脅，相關(guān)安全工作如何能更高質(zhì)量、更有效率的開展，還是需要不斷的努力。

據(jù)一家中型基金公司IT人士表示，該公司高度重視網(wǎng)絡(luò)在信息安全管理工作，根據(jù)公司戰(zhàn)略發(fā)展規(guī)劃，制定了網(wǎng)絡(luò)在信息安全管理制度、技術(shù)規(guī)范與中長期規(guī)劃，在基金信息系統(tǒng)平臺和IT基礎(chǔ)設(shè)施平臺方面已經(jīng)完成了比較完善的“雙平臺”建設(shè)。公司持續(xù)加大信息技術(shù)資金及人員投入，持續(xù)健全網(wǎng)絡(luò)和信息安全管理體系等，積極落實(shí)網(wǎng)絡(luò)和信息安全監(jiān)管要求。

“作為一家中小型基金公司，充分認(rèn)識到做好網(wǎng)絡(luò)和信息安全工作的重要性和緊迫性，因勢而謀、應(yīng)勢而動、順勢而為。我們過去進(jìn)行了包括加強(qiáng)網(wǎng)絡(luò)安全防護(hù)、建立完善的信息安全管理制度、定期進(jìn)行安全演練和培訓(xùn)等。我們還與專業(yè)的安全公司合作，對公司的網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行全面的安全檢測和評估?！奔t土創(chuàng)新相關(guān)人士表示。

德邦基金也表示，歷來高度重視網(wǎng)絡(luò)和信息安全，在IT治理層面、網(wǎng)絡(luò)建設(shè)方面、安全管控方面、數(shù)據(jù)治理方面等都制度、規(guī)范、要求。后續(xù)公司將對照“提升計劃”31條細(xì)則，持續(xù)落實(shí)網(wǎng)絡(luò)和信息安全能力建設(shè)的各項(xiàng)要求。

不過，不少基金公司認(rèn)為，面對復(fù)雜多變的網(wǎng)絡(luò)安全問題，基金公司尤其中小公募的投入能力、人才培養(yǎng)、戰(zhàn)略布局等多方面存在困難，也是未來亟待解決和發(fā)展的問題。

“目前基金行業(yè)面臨難點(diǎn)是投入能力問題，任何一家基金公司對信息和網(wǎng)絡(luò)安全都極其重視，但因行業(yè)盈利模式單一，各家公司能力差異很大。很多中小公司尚在虧損或者艱難生存期，較高的投入要求可能會導(dǎo)致他們在其他方面的投入減少，比如在最核心的投研和客戶服務(wù)方面?！睂O萬龍建議，在確保基礎(chǔ)投入基礎(chǔ)上能跟管理費(fèi)收入一定比例掛鉤，確保持續(xù)健康投入。

另一位基金公司人士也有類似觀點(diǎn)，基金管理行業(yè)的競爭日趨激烈，中小基金管理公司在求生存謀發(fā)展的壓力下，信息技術(shù)資源投入相對有限，但是需要面對與頭部公司相同的網(wǎng)絡(luò)和信息安全外部環(huán)境。因此，基金管理公司需要積極探索系統(tǒng)、多元和創(chuàng)新的方式開展網(wǎng)絡(luò)和信息安全管理工作，充分意識到科技資金投入和人才團(tuán)隊建設(shè)對網(wǎng)絡(luò)和信息安全的重要性，持續(xù)提升安全管理能力和資源投入，不斷加強(qiáng)安全意識教育和技能訓(xùn)練，堅持人工預(yù)防和技術(shù)預(yù)防相結(jié)合，采取了多種信息技術(shù)安全安防措施，保障公司信息技術(shù)系統(tǒng)安全穩(wěn)定高效運(yùn)行。

人才也是一大問題。德邦基金則表示，網(wǎng)絡(luò)和信息安全工作涉及面廣，技術(shù)體系復(fù)雜，基金行業(yè)安全人才相對匱乏，人才的培養(yǎng)和引進(jìn)難度較大，獨(dú)立開展網(wǎng)絡(luò)攻防演練等方面的落地成本也較高。如果行業(yè)層面能搭建網(wǎng)絡(luò)和信息安全交流平臺，組織技能培訓(xùn)，實(shí)現(xiàn)資源共享，交流前沿技術(shù)、實(shí)戰(zhàn)經(jīng)驗(yàn)、示范案例等，將幫助基金公司更高效落實(shí)網(wǎng)絡(luò)和信息安全政策要求。

此外，上述紅土創(chuàng)新人士表示，工作難點(diǎn)在于，網(wǎng)絡(luò)和信息安全是一個不斷變化的領(lǐng)域，新的安全威脅和漏洞不斷涌現(xiàn)，需要不斷跟進(jìn)和更新安全措施，保持高度警惕和敏銳性。同時也需要加強(qiáng)員工的信息安全意識和培訓(xùn)，讓每個人都能夠意識到信息安全的重要性，做好自己的信息安全防護(hù)工作。

網(wǎng)絡(luò)和信息安全至關(guān)重要

守牢系統(tǒng)性金融風(fēng)險底線

行業(yè)內(nèi)普遍對網(wǎng)絡(luò)和信息安全工作非常重視?！耙环矫婺茉谛袠I(yè)高質(zhì)量發(fā)展的同時，牢牢守住不發(fā)生系統(tǒng)性金融風(fēng)險的底線，另一方面也賦能行業(yè)信息化水平不斷提升，支持資本市場的改革發(fā)展?！焙阍交餓T運(yùn)營負(fù)責(zé)人表示。

孫萬龍認(rèn)為，網(wǎng)絡(luò)和信息安全重要性不言而言，尤其是在未來AI人工智能大發(fā)展背景下，“網(wǎng)絡(luò)安全”為業(yè)務(wù)提供保障進(jìn)一步上升到為業(yè)務(wù)提供賦能。

匯安基金金融科技部人士也表示，在基金業(yè)務(wù)與互聯(lián)網(wǎng)技術(shù)、數(shù)字技術(shù)越來越緊密結(jié)合的今天，網(wǎng)絡(luò)和信息安全保障能力已成為基金管理公司穩(wěn)步發(fā)展的關(guān)鍵因素和核心競爭力。隨著網(wǎng)絡(luò)技術(shù)的日新月異，基金信息系統(tǒng)應(yīng)用帶來了新的安全風(fēng)險和攻擊方式，網(wǎng)絡(luò)和信息安全防護(hù)對象由傳統(tǒng)的PC、服務(wù)器拓展至云平臺、大數(shù)據(jù)和泛終端，安全防御體系也在從被動防御向智能化的主動防御過渡。

“國內(nèi)外一系列信息安全事件表明，如基金行業(yè)的網(wǎng)絡(luò)信息系統(tǒng)沒有安全防護(hù)能力，一旦發(fā)生重大風(fēng)險事故，將給基金管理公司造成無法估量的影響。這會直接威脅到企業(yè)的生存和發(fā)展，造成無可挽回的經(jīng)濟(jì)損失，甚至影響整個基金行業(yè)的發(fā)展和社會穩(wěn)定。”上述人士表示。

匯安基金上述人士還表示，近年來，基金管理公司不斷深入探索如何將新技術(shù)如大數(shù)據(jù)、人工智能、云計算等應(yīng)用于投資研究、風(fēng)險管理等業(yè)務(wù)場景，以及打造數(shù)據(jù)中臺、推進(jìn)信息系統(tǒng)互聯(lián)互通和數(shù)據(jù)共享，同時高度關(guān)注網(wǎng)絡(luò)安全，在關(guān)鍵信息系統(tǒng)上構(gòu)建了監(jiān)測預(yù)警機(jī)制和等級保護(hù)，加強(qiáng)密碼應(yīng)用安全建設(shè)，為行業(yè)網(wǎng)絡(luò)安全提供堅實(shí)防線。在信息技術(shù)充分賦能基金管理公司整體發(fā)展應(yīng)用場景豐富性和復(fù)雜性日趨提升的情況下，網(wǎng)絡(luò)和信息安全基礎(chǔ)性、戰(zhàn)略性作用進(jìn)一步凸顯，網(wǎng)絡(luò)和信息安全管理工作需要在從“有”到“好”的發(fā)展路徑上蓄力邁進(jìn)。

德邦基金、紅土創(chuàng)新等多家基金公司認(rèn)為，網(wǎng)絡(luò)安全問題不僅僅是基金公司核心競爭力的重要組成部分，更助益基金公司的品牌形象，提升客戶信任度，提高公司的市場競爭力。

紅土創(chuàng)新基金人士尤其提出，網(wǎng)絡(luò)和信息安全不僅是基金公司業(yè)務(wù)安全和客戶資產(chǎn)安全的重要保障，也是基金公司提升服務(wù)質(zhì)量和客戶滿意度的重要手段?；鸸緫?yīng)該高度重視網(wǎng)絡(luò)和信息安全問題，加強(qiáng)安全管理和技術(shù)投入，確保公司和客戶的資產(chǎn)安全和業(yè)務(wù)安全。同時，也應(yīng)該積極推動行業(yè)標(biāo)準(zhǔn)的制定和實(shí)施，共同維護(hù)基金行業(yè)的良好發(fā)展。

恒生電子相關(guān)人士也表示，網(wǎng)絡(luò)和信息安全是基金行業(yè)高質(zhì)量發(fā)展的生命線和基石?；鸸就ㄟ^一系列措施保障行業(yè)信息安全和穩(wěn)定，有利于基金公司進(jìn)一步更新信息系統(tǒng)架構(gòu)，促進(jìn)行業(yè)基礎(chǔ)設(shè)施升級，同時，信息安全建設(shè)為基金行業(yè)業(yè)務(wù)創(chuàng)新發(fā)展提供安全保障，防范和化解網(wǎng)絡(luò)安全風(fēng)險，確保資本市場安全、穩(wěn)定和高效運(yùn)行，切實(shí)保護(hù)投資者合法權(quán)益。

此外，某中小型公司首席技術(shù)官建議，監(jiān)管和協(xié)會能夠充分考慮行業(yè)各家公司不同的發(fā)展現(xiàn)狀，以打造整體安全生態(tài)、行業(yè)共建的形式，引導(dǎo)行業(yè)核心機(jī)構(gòu)、頭部公司為中小型公司提供更多的幫助和指導(dǎo)，來切實(shí)的提升行業(yè)整體的網(wǎng)絡(luò)和信息安全建設(shè)水平。

本文源自：中國基金報

關(guān)鍵詞：