基金业硬指标！三档标准明确IT投入与信息安全人员配置，年底前完成网络和信息安全三年总体规划编制

　　6月13日讯(记者吴雨其)中基协最新发布《基金公司网络和信息安全三年提升计划(2023-2025)》，对信息技术投入与相应网络和信息安全人员人数要求都做出了明确安排。

　　上述提升计划中提出，基金业网络和信息安全保障水平明显提升，行业从业人员网络和信息安全意识明显增强，建立与机构发展愿景相适应的网络和信息安全战略，科技创新应用不断促进网络和信息安全稳步提升，为行业数字化转型及高质量发展提供了有力支撑的总体目标。

　　“提升计划”要求基金管理公司应于2023年底前完成本机构网络和信息安全三年总体规划的编制，明确网络和信息安全可达目标，推动做好网络和信息安全治理，制定网络和信息安全可实施任务，采取网络和信息安全可行措施，每年至少开展一次总体规划的评估修订，保证规划持续满足业务发展及网络和信息安全管理要求。

　　“提升计划”对基金公司的信息技术资金投入提出了新要求：

　　公司当年年度营业收入大于10亿元(含)，每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的5%；

　　营业收入小于10亿元且大于2亿元(含)，每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的8%；

　　营业收入小于2亿元，每年度信息技术资金投入应不少于1500万元。

　　人员配置方面也有明确要求：

　　基金管理公司自有信息技术人员总数，原则上应不少于员工总人数的8%，且不低于4人；

　　其中，信息技术人员数量超过100人，应至少配置4名网络和信息安全人员；

　　超过50人，应至少配置3名网络和信息安全人员；

　　低于50人，应至少配置2名网络和信息安全人员；低于5人的，应至少配置1名网络和信息安全人员。

　　相较于《征求意见稿》时要求的信息技术人员超过100人时至少配置3名安全专职人员，少于50人要求配置1名安全专职人员，正式计划有较大幅度提升。

　　记者了解到，基金公司的信息技术人员人数分化较大，一些头部基金公司IT人员约在几百人以上，加上外包人员可能更多，分设有交易系统、估值系统、TA系统以及信息安全等。一些规模较小的基金公司，IT人员仅二三十人。有业内人士表示，近年来，随着金融科技的迅猛发展，各基金公司对金融IT人才的需求日益激增。

　　中基协表示，未来三年，希望公募基金管理公司统筹发展与安全，以“提升计划”作为开展自身网络和信息安全工作的行动指南，进一步筑牢网络和信息安全基石，支撑基金行业高质量发展。中基协将持续做好基金行业网络和信息安全相关培训、交流、评估等工作，积极培育公募基金管理公司网络和信息安全健康发展新生态。

　　记者同时了解到，这类要求并非首提，技术与人员投入对一些小基金公司来说难度较大，过往监管在执行中也会留有弹性。

　　对基金公司提出网络和信息安全的重点任务

　　网络和信息安全是基金管理公司不可忽视的重要领域。为了应对不断增长的网络威胁和保护敏感信息的安全，公司需要制定全面的网络和信息安全管理规划。

　　“提升计划”指出健全网络和信息安全管理体系的关键要点包括剖析安全问题、明确目标、制定任务和措施、兼顾政策和公司实际情况，并持续进行安全评估。同时，建立安全组织架构、完善相关制度、开展安全培训和评估审计，以提升安全保障能力。这些步骤将帮助公司建立健全的安全体系，确保网络和信息安全得到有效管理和保护。

　　强化系统全流程研发管控体系方面，“提升计划”指出，基金管理公司在网络和信息安全管理中需要采取全流程的安全策略。关键要点包括制定全流程安全策略，需求阶段、设计阶段、实现阶段、变更阶段和上线阶段的安全策略。其中，公司需要推动网络和信息安全人员参与研发各环节，对重要信息系统进行必要的分离和脱敏处理。在需求、设计、实现、变更和上线阶段，公司需遵循安全规范和最佳实践，加强源代码安全检查、开源代码和第三方组件的管理，严格控制和规范变更实施，并进行上线前的合规审核和安全防护检验。这些安全策略将帮助公司建立可靠的信息系统安全防护能力，保护敏感数据和业务系统免受安全威胁。

　　“提升计划”还提到，基金公司需夯实网络和信息安全技术体系。具体来看，包括优化网络基础架构，明确网络安全边界和访问控制；构建纵深安全防御机制，使用多种技术设备来增强安全防护能力；加速更新信息系统架构，以处理海量数据和应对高并发业务；开展网络攻防演练，提高应对网络安全攻击的能力。

　　深化数据安全全链路治理体系的核心观点是基金管理公司应建立健全的数据安全制度流程和标准规范，涵盖数据采集、传输、存储、备份和恢复、使用、删除、销毁等各个环节。

　　从完善网络和信息安全运维体系看，基金管理公司还需要建立安全监测预警机制、强化病毒防范管理、夯实系统漏洞安全管理、完善重要信息系统的压力测试评估机制、完善移动应用程序认证机制以及妥善防范自动化运维风险。这些措施旨在保护基金管理公司的网络和信息安全，确保系统稳定运行并保护投资者个人信息安全。

　　基金管理公司应提升网络和信息安全的应急体系，包括建立故障备份设施和灾难备份设施，推进同城及异地灾备中心建设。同时，加强数据备份覆盖范围和提升备份系统处理能力。持续完善应急预案和进行应急演练，提高组织协调能力和应急处理能力。必要时，聘请外部安全顾问协助安全事件的分析和处置。这些措施将确保业务连续性、降低损害风险，并提升对突发事件的应急能力。

　　此外，基金管理公司应落实网络和信息安全监管要求，对所有信息系统进行等级定级，并按监管机构指导意见开展相关工作。同时，加强个人信息安全保护，建立完善的管理体系和进行定期安全检查。加强与信息技术服务厂商的合作，推动信息技术应用创新和IPv6升级改造，同时加强软件正版化和知识产权保护，确保信息及数据安全。这些措施将夯实网络和信息安全监管要求，促进行业的安全发展。

　　对基金公司提出七条保障措施

　　首要的是，基金管理公司应意识到科技资金投入和人才团队建设对网络和信息安全的重要性，加大安全投入。要确保投入的资金和人员与业务活动规模相适应，并提高网络和信息安全投入在整体信息技术投入中的比例。此外，基金管理公司还应采取系统、多元和创新的培养方式，培养既了解业务、又了解技术和管理的复合型人才。

　　其次，基金管理公司应建立科学有效的综合考核评价体系和人才激励机制，将网络和信息安全考核权重加大。这可以包括采用"揭榜挂帅"和"赛马"等制度，以激发网络和信息安全方面的创造潜能和创新效能。

　　第三，鼓励基金管理公司与网络安全主管部门、信息安全厂商、高校和研究机构等加强合作，构建安全生态体系，促进安全发展。共同研究网络安全课题，分享威胁情报，推动制定共享标准。创新安全产品和服务，建立合作机制，保障基金管理公司的网络和信息安全。

　　政策指引方面，基金管理公司应积极践行国家和监管机构关于网络和信息安全的政策要求，以营造良好的网络和信息安全发展环境。协会将加强网络和信息安全的宣传工作，引导基金管理公司增强法治意识，逐步建立网络安全监管体系和个人信息保护制度，防范和化解行业网络安全风险，确保资本市场的安全、稳定和高效运行。

　　标准体系建设方面，“提升计划”指出，协会将针对基金管理公司的特点，构建适用于其的网络和信息安全标准体系。协会还将加强行业标准化工作，组织编写网络和信息安全技术标准，以强化标准在行业中的引领作用。

　　值得一提的是，协会将搭建行业网络和信息安全交流平台，营造网络和信息安全创新发展良好环境，组织分享网络和信息安全实战经验，交流国内外网络和信息安全前沿技术，组织编制网络和信息安全示范案例，多渠道宣传推广应用先进典型，引导基金管理公司有效落实网络和信息安全政策要求。

　　另外，协会将定期组织开展基金管理公司网络和信息安全提升工作情况统计评估，适时定向分享统计评估结果，及时发现存在的问题，组织行业内外专家力量研讨可行解决方案，引导基金管理公司不断提升网络和信息安全保障能力。