《证券公司网络和信息安全三年提升计划（2023-2025）》解读

类别

内容模块

具体内容

重点任务清单

芯盾时代对应产品/服务

（一）持续提升科技治理水平

1．全面完善信息科技战略发展规划

加强顶层设计，制定信息科技战略发展规划，明确实施策略和具体路径，涵盖网络和信息安全领域，并进行动态修订和持续完善。

证券公司在 2023 年底前根据公司的整体战略规划，制定及完善信息科技战略发展规划，明确实施策略和具体路径，规划应涵盖网络和信息安全领域，并结合行业监管与公司业务发展，每年进行动态修订和持续完善。

/

2．充分发挥科技治理组织作用

进一步健全科技治理架构，加强科技治理组织对网络和信息安全保障工作的主导和统筹，推动网络和信息安全工作逐步由被动防御转变为主动加固和动态保障。在保障主机安全、网络安全和应用安全的基础上，进一步提高科技治理组织在数据安全管理、安全应急响应等方面的治理能力，提高科技治理组织对重大信息技术事项决策的科学性和有效性。

证券公司健全科技治理架构，加强和完善科技治理能力，每年定期召开科技治理组织工作会议，将重点任务分解到执行部门并明确评价标准，充分发挥科技治理组织在网络和信息安全保障能力

与发展方面的作用。

/

3．大力推动信息科技管理体系建设

健全网络和信息安全管理制度体系，筹划、建立和完善信息系统开发、测试、运维及信息安全等技术领域的管理体系，持续提高研发效能与软件质量，提升运维管理服务及信息安全管理水平。结合自身实际情况，积极开展与国际、国家以及行业标准化体系的对标工作。

证券公司筹划、建立和完善信息系统的开发、测试、运维及信息安全等技术管理领域的管理体系，持续提高研发效能与软件质量，提升运维管理服务及信息安全管理水平。

/

4．健全信息科技风险管理三道防线

充分发挥信息技术、合规风控、稽核审计三道防线的监控和督导作用，全面识别风险、揭示问题，定期组织各防线的内部检查、风险评估与审计，建立风险及问题闭环管理机制，确保风险及问题妥当处置。建立相应的信息科技风险监控机制，对业务开展中可能涉及网络和信息安全风险事项进行监测和评估，降低信息科技操作风险。

全面识别风险、揭示问题，每年定期组织各防线的内部审查，建立闭环管理机制，确保风险及问题妥当处置。

/

5．持续完善供应商管理机制

定期开展供应商评估，对合作供应商的资质、服务质量等内容进行评估与审查，持续保障系统和服务的可靠性。加强供应商服务过程管控，依据监管要求做好供应商准入管理；加强供应商项目实施人员的背景调查，严格管控人员的操作环境权限，做好上岗前的安全教育培训等；强化交付过程中的质量验收、交付后服务支持及时响应与高效解决。

完善供应商管理机制。每年定期开展供应商评估工作，对合作供应商的资质、服务质量等内容进行评估与审查，持续保障系统和服务的可靠性。

/

（二）建立科学合理的科技投入机制

1．合理加大科技资金投入

鼓励有条件的证券公司在2023-2025 三个年度信息科技平均投入金额不少于上述三个年度平均净利润的10%或平均营业收入的 7%，并保持稳定的资金投入。持续优化信息科技投入结构，加大研发类、网络和信息安全类以及信创建设等方面的投入，深化信息技术架构设计、系统测试、安全防护、数字化转型能力建设。

鼓励进一步合理加大科技资金投入，有条件的公司2023-2025 三个年度信息科技投入平均金额不少于上述三个年度平均净利润的 10%或平均营业收入的 7%，并保障充足的网络和信息安全经费投入。

/

2．加强科技人才队伍建设

制定人才培养计划，建立健全人才激励保障和发展机制。建设与业务活动规模、复杂度相匹配的专业化网络和信息安全团队，加强核心系统的专业化技术力量，做好架构师、研发、测试、运维及安全等序列人才储备。持续充实信息科技专业人才队伍，鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的 7%，其中信息安全专业人员比例至信息科技专业人员总数的 3%并且不少于 2 人。

证券公司制定人才培养计划，鼓励进一步合理增加科技人员投入，持续充实信息科技专业人才队伍，鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的 7%，其中信息安全专业人员比例至信息科技专业人员总数的 3% 并且不少于 2 人。

/

（三）增强信息系统架构规划掌控能力

1．建立及完善系统架构管理机制

建立和落实公司层面的信息系统架构管理制度和流程，包括不限于信息系统架构定义，信息系统建设过程中对应用架构、数据架构、技术架构的设计和评审流程以及架构冲突的处理机制等方面内容。加强开源软件治理，防范安全风险。设立专业的信息系统架构管控角色、岗位、团队或联合组织，对公司的信息系统和架构资产进行规划设计及统一管理。

证券公司在 2023 年底前设立专业的信息系统架构管控角色、岗位、团队或联合组织，对公司的信息系统和架构资产进行规划设计及统一管理。

用户身份与访问管理 IAM

（操作系统身份与访问管理 OIAM、

统一应用权限 UAP）

2．建设及健全企业级应用架构

建立企业级通用服务或能力，加强业务一体化服务平台建设。将业务能力组件化、业务功能平台化，提高架构复用性，并通过复用性的设计提升系统的质量和效率，降低软件开发、系统维护和升级等方面的费用。

证券公司建立企业级通用服务或能力，加强业务一体化服务平台建设。将业务能力组件化、业务功能平台化，提高架构复用性。

/

3．持续加强数据架构体系治理

建立长期有效的企业级数据规划和发展战略，持续加强企业数据架构治理。建立统一的企业级数据标准，不断提升数据标准化水平，规范数据的识别、确权和分级分类，在数据全生命周期的各阶段建立并落实技术防护能力，将数据安全作为常态化工作。通过动态跟踪、持续改善以及数据全链路的安全风险监控，及时掌握数据管控现状，持续优化数据治理策略。

证券公司建立长期有效的企业级数据规划和发展战略，持续加强企业数据架构治理。

数据安全分类分级

数据静态脱敏系统

业务脱敏系统

数据库脱敏系统

API 网关

API 安全监测系统

数据安全运维网关

数据安全态势感知

4．多方位推进技术架构转型升级

加强核心系统的技术攻关，鼓励有条件的证券公司积极推进新一代核心系统的建设，根据不同客户群开展核心系统技术架构的转型升级工作。新一代核心系统实现交易、账户、清算与运营等功能分离，能够快速响应业务需求，满足未来业务发展需要。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型，具备高可用、高性能、低时延、易扩展及松耦合等特性。高可用方面，系统支持集群和多活容灾部署，数据中心内部单个物理设备故障不影响集群高可用，集群整体故障可实现秒级同城灾备切换或分钟级异地灾备切换；性能和时延方面，系统能保持在较低时延水平的同时，具备高性能的订单持续处理能力；易扩展方面，系统支持通过增加处理节点，实现快速的容量扩充，能够灵活支持新产品和新业务；松耦合方面，系统的单个组件支持独立部署，功能相对独立，组件内高内聚，组件间松耦合。在云平台方面，鼓励利用分布式、云原生等先进技术对信息系统进行架构升级，提升系统的健壮性和扩展性。鼓励有条件的证券公司加快信息系统在私有云与行业云部署，提升系统云化比例。具体实施上，遵循“循序渐进、稳步推进、逐步切换”的原则，制定相应的风险应急预案，控制系统建设风险。

推进技术架构转型。证券公司加强核心系统的技术攻关。鼓励有条件的公司积极推进新一代核心系统的建设，根据不同客户群开展核心系统技术架构的转型升级工作。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型，具备高可用、高性能、低时延、易扩展及松耦合等特性。

推进技术架构升级。在云平台方面，鼓励利用分布式、云原生等先进技术对信息系统进行架构升级，提升系统的健壮性和扩展性。鼓励有条件的公司加快信息系统在私有云与行业云部署。具体实施上，制定相应的风险应急预案，控制系统建设风险。

云原生安全平台

5．持续提高核心系统自主掌控能力

发挥信息科技部门的规划管理能力，熟悉和了解行业发展方向和技术演进线路。与重要供应商之间建立开放和紧密的合作关系，在行业生态健康发展的基础上，积极加强核心系统的自主掌控能力。鼓励有条件的证券公司合作研发或自主研发安全可控的关键技术、系统或设施。对于外购系统，要求厂商提供完整的系统技术资料，并对证券公司技术人员开展全面的专业培训，确保深入掌握系统的技术架构与关键技术环节。鼓励申请企业专利，加强知识产权保护，提升信息系统的整体安全水平，减少对于信息系统的侵权、仿制、破解等风险。

证券公司发挥信息科技部门的规划管理能力，熟悉和了解行业发展方向和技术演进线路。与重要供应商之间建立开放和紧密的合作关系，在行业生态健康发展的基础上，积极加强核心系统的自主掌控能力。

/

（四）强化系统研发测试管理能力

1．建立及完善需求设计及分析机制

参照国际国内标准，全面梳理研发项目生命周期，建立及完善需求设计及分析机制，提升研发效能，增强业务响应效率。持续优化需求设计分析过程，形成能够快速响应市场变化、业务调整、资源冲突等因素的需求设计管理过程。制定信息系统非功能性设计规范、需求设计及分析过程中，对信息系统非功能要求进行充分评审，并推动供应商加强对非功能性设计的重视。安全管控方面，建立需求提出方与相关业务部门、信息技术部门、法律、合规及风控部门等协同工作机制，开展功能性及可用性、性能、时延、安全性等非功能性指标的全面评估。

证券公司参照国际国内标准，全面梳理研发项目生命周期，建立及完善需求设计及分析机制，提升研发效能，增强业务响应效率。并且制定信息系统非功能性设计规范，在需求设计及分析过程中，对可用性、性能、时延、安全性等信息系统非功能要求进行充分评审，推动供应商加强对非功能性设计的重视。

/

2．持续提升代码开发效率及安全

通过工具建设与规范制定，全面提升代码开发效率及安全。工具建设方面，建设统一的源代码管理工具和标准化的研发运维一体化工具平台，实现软件开发、测试全生命周期的标准化管理，进而将安全控制手段嵌入信息系统开发的需求分析、设计、编码、测试、发布和运维等各环节中。规范制定方面，建立标准的安全开发规范，制定软件开发、源代码编写与提交、第三方组件等软件编码的相关规范，加强开发人员权限控制、代码版本管理、开源和第三方组件管理和代码库安全管控。

证券公司通过工具建设与规范制定，全面提升代码开发效率及安全。

开发安全

低代码平台

3．制定并落实信息系统代码审计规范

制定并完善涵盖自研系统和外购系统的代码审计规范。自研系统实现自研代码审计全覆盖。外购系统根据系统交付是否包含源代码，决定是否通过安全代码审计或要求供应商提供代码审计报告。

证券公司在2023 年底前制定及完善涵盖自研系统和外购系统的代码审计规范。自研系统实现自研代码审计全覆盖。

/

4．全面加强信息系统测试质量管控

组建与系统规模相匹配的测试人员或团队，设置合理的开发与测试人员配比，确保产品上线前得到充分有效的测试。建立完备的重要信息系统研发测试管理机制，通过设置单元测试、集成测试和联调测试等环节的质量门禁，科学设计测试方案和用例，加强功能性测试与评估，以及可用性、性能、时延与安全性等非功能性测试与评估。重要信息系统新上线或较大变更上线前，全面完成测试验收。推进测试左移，在需求评审等阶段提前发现并规避设计缺陷；推进测试右移，完善生产上线过程的

管理与上线后的回归验证，并推动生产应急保障能力提升。同时，加强生产问题的管理，将生产问题纳入统一管理，不断完善和丰富测试用例，以建立风险驱动的测试管理机制。建设测试管理平台，借助自动化手段对需求分析、用例编写、用例评审、用例执行和缺陷追踪进行数字化度量。鼓励有条件的证券公司，稳健提升重要信息系统的自动化测试比例，全面提升测试效能与质量。

证券公司组建与系统规模相匹配的测试人员或团队，设置合理的开发与测试人员配比。证券公司在 2023 年底前建立与持续完善软件质量管理制度以及测试指引。重要信息系统新上线或较大变更上线前，全面完成测试验收。

/

（五）夯实系统运行保障能力

1．加强信息系统上下线管理

组织对重要信息系统上线的业务流程合规性、权限设置清晰度、对其它业务影响、测试遗留问题对系统上线后的影响等方面进行全面评估。对重要信息系统的备份能力要求、信息安全防护措施、测试报告、验收报告、风险评估报告、应急预案、系统运维非功能需求以及上线方案等运维方面进行全面评估。在系统上线时密切关注业务运行情况，做好业务保障工作。运用技术手段开展重要信息系统下线的技术和业务影响评估，制定完整的系统停用和数据迁移保管方案，并组织评审及进行系统停用后的安全检查。

对于重要信息系统上线，证券公司组织相关人员对上线系统的业务流程合规性、权限设置清晰度、对其它业务的影响、测试遗留问题对系统上线后的影响等方面进行全面评估。

云原生安全平台

2．全面管控信息系统变更风险

加强信息系统变更风险管控，采取合适的技术手段，识别系统变更的关联关系，充分评估变更影响，合理运用灰度发布策略，有效控制变更风险。持续完善变更管理机制，制定变更实施方案、变更影响及风险分析、应急回退方案、业务验证等重要环节的落地要求，通过工具平台予以标准化，并引入变更质量度量体系，完善系统变更前后的质量评估，对测试过程、变更过程进行有效评价和持续优化。积极运用持续发布、容器以及相关的运维自动化技术，实现重要信息系统变更的标准化、自动化和平台化，自动化发布平台具备可追溯、可审计及日志记录功能，有效控制生产环境的变更操作权限，降低人员变更操作风险。鼓励有条件的证券公司，稳健提升重要信息系统自动化发布比率，发布失败后具备版本的快速回退能力。

证券公司加强信息系统变更风险管控，采取合适的技术手段，识别系统变更的关联关系，充分评估变更影响，合理运用灰度发布策略，有效控制变更风险。持续完善变更管理机制，制定变更实施方案、变更影响分析、应急回退方案、业务验证等重要环节的落地要求，通过工具平台予以标准化。

云原生安全平台

3．持续提升信息系统故障发现能力

建立覆盖业务、应用、底层基础架构和基础设施的信息系统运行监测体系，并持续完善，不断提升运行监控的覆盖度。建设统一的告警平台，与多种专业化监控工具实现联动，形成一体化运维监控平台，并建立告警的统一汇聚、分派通知和处置流程体系，持续开展告警的分析运营，提升监控告警的全面性、准确性、及时性。鼓励有条件的证券公司积极开展运维大数据和智能化运维工具平台建设，引入指标异常检测、日志异常检测、告警收敛、全链路调用追踪、根因分析等监控和智能故障发现和定位手段，结合人工经验进行分析，实现综合判断，以不断提升信息系统的故障预防和故障发现能力。

证券公司在2023 年底前建立覆盖业务、应用、底层基础架构和基础设施的信息系统运行监测体系，并持续完善，不断提升运行监控的覆盖度。

API 安全监测系统

数据安全态势感知

4．全面提高事件预警及处置效率

建立专业化团队协同分工机制，明确岗位角色分工，强化岗位角色职责。持续完善事件管理制度，规范事件的处置流程，形成覆盖事件的预警、报告、处置、复盘等完整的闭环管理。不断完善事件应急预案，建立告警故障处置知识管理机制。鼓励有条件的证券公司建设和提升应急处置预案的自动化能力，提高故障研判和快速处置效率，提升故障自愈能力。积极运用运维自动化、混沌工程等技术手段，开展预案管理平台建设，对重要信息系统的应急处置预案进行线上化管理，实现应急处置预案的标准化和自动化。同时，通过加强日常演练，建设并持续更新应急预案场景库，不断提升预案场景的覆盖度和自动化处置比率。

证券公司建立专业化团队协同分工机制，明确岗位角色分工，强化岗位角色职责。持续完善事件管理制度，规范事件的处置流程，形成覆盖事件的预警、报告、处置、复盘等完整的闭环管理。不断完善事件应急预案，建立告警故障处置知识管理机制。

/

5．健全组织级应急响应管理机制

建立健全自上而下、协同联动、高效有力的应急管理和舆情管理机制，提高应急管理和舆情管理水平，实现信息运行的实时舆情监测，并根据应急组织架构，压实各部门应急处置责任。加强应急决策、授权、舆情应对和技术应对能力，建立快速响应机制，提升应急的组织、调度协调能力。鼓励有条件的证券公司建设平台化的信息系统故障指挥与协作系统，将应急响应处置流程和预案场景落地至平台，快速自动建立合适的应急联络沟通渠道，应急预案和应急处置过程全面线上化、可视化，提高故障的应急协同处置效率。

证券公司在 2023 年底前建立健全自上而下、协同联动、高效有力的应急管理和舆情管理机制，提高公司应急管理和舆情管理水平，实现信息运行的实时舆情监测，并根据应急组织架构，压实各部门应急处置责任。

/

6．做好信息系统容量与性能管理

结合信息科技战略发展规划及现有资源，建设信息系统容量评估机制，做好容量规划，定期组织对信息系统容量进行评估。持续开展重要信息系统容量与性能测试和评估，运用全链路性能压测、数据建模、生产容量水位观测等多种方式，建立容量基线，确保重要信息系统容量满足业务需要。充分利用运维大数据、人工智能等技术手段，持续采集信息系统的运行数据，建立科学、可预测的信息系统容量模型，有效支持信息系统容量的弹性管理，为系统运行的持续降本增效提供有效的数据支撑，提升基础设施资源的整体利用率。

证券公司结合信息科技战略发展规划及现有资源，在 2023 年底前建立信息系统容量评估机制，做好容量规划，每年定期组织对信息系统容量进行评估。

/

7．完善重要信息系统数据备份能力

制定信息系统数据备份管理策略，建立数据防丢、防删的权限管控机制和技术手段，提升重要信息系统数据备份管控能力建设。鼓励有条件的证券公司开展数据备份服务平台化建设，实现备份数据全生命周期的标准化、自动化和线上化管理，优化备份有效性的验证手段，实现系统数据和应用备份、恢复和验证全过程的平台化、数字化和可视化管理。

证券公司在2023 年底前制定信息系统数据备份管理策略，建立数据防丢、防删的权限管控机制和技术手段，提升重要信息系统数据备份管控能力。

数据库安全运维网关

（六）健全信息安全防护体系

1．落实等级保护定级和测评要求

落实网络安全等级保护制度，依法履行网络安全等级保护义务，按照国家和证券期货业定级标准和定级要求，向公安机关办理备案和变更。对所有信息系统开展等级保护定级，遵循网络安全等级保护基本要求和评测行业标准，明确信息系统的边界和安全保护等级，做好定级备案系统的安全建设和等保测评工作。

证券公司落实网络安全等级保护制度，依法履行网络安全等级保护义务，按照国家和证券期货业定级标准和定级要求，向公安机关办理备案和变更，并做好定级备案系统的安全建设和等保测评工作。

用户身份与访问管理 IAM

2FA 双因素认证

零信任业务安全平台SDP

2．深化漏洞全生命周期管控

建立完善的漏洞管理制度，明确分级分类标准、职责分工与处置要求，漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。软件研发方面，建设与研发过程融合的应用安全管理体系。实施应用威胁建模，做好应用安全架构设计；使用白盒检测、黑盒检测、灰盒检测和人工渗透相结合的技术手段，检测代码安全缺陷和引入的第三方组件漏洞，提升安全风险检测的全面性、准确性和效率，实现漏洞通报、修复的闭环管理，确保变更上线前已知风险全面收敛。供应链方面，制定供应链安全管理制度。全面考虑供应商、人员、产品和服务等因素，明确覆盖供应链上中下游各环节的安全要求。建立供应链产品清单和资产台账，加强对供应链产品的功能、性能和安全测试，加强对使用的第三方组件和开源组件的安全检测。与供应链厂商建立漏洞共享及应急响应机制，共同应对安全风险，并制定供应链产品出现漏洞的应急预案。风险巡检方面，采用内、外结合的漏洞扫描、渗透测试、实战攻防演习等方式开展常态化的风险检测，进行全网络范围的资产梳理和漏洞扫描，并建设组织级的漏洞管理平台，同步汇总漏洞结果，并持续跟进修复，形成管理闭环。

证券公司在 2023 年底前建立完善的漏洞管理制度，明确分级分类标准、职责分工与处置要求，漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。在软件研发方面，建设与研发过程融合的应用安全管理体系。在供应链方面，制定供应链安全管理制度。采用内、外结合的漏洞扫描、渗透测试、实战攻防演习等方式开展常态化的风险检测，进行全网络范围的资产梳理和漏洞扫描，并建设组织级的漏洞管理平台，同步汇总漏洞结果，并持续跟进修复，形成管理闭环。

自动化渗透测试平台

漏洞管理系统

3．提升安全攻击防控能力

持续提升安全攻击防控体系建设，以全面精准、集中化、自动化、协同化、知识化为目标，建立完善的应急处置制度、流程和预案，明确组织保障和协同机制，实现能力的全方位、多层次、立体化覆盖。重点提升对于隐蔽性强、检测难度高的攻击手段的检测精准性，提高攻击研判分析、溯源分析和响应处置的效能。基于纵深防御、主动防御、动态防御的思路，建设安全防护工具体系，在终端、系统、应用、网络进行攻击行为的多层次感知和阻断。鼓励有条件的证券公司建设统一的安全运营中心，利用大数据和人工智能技术，将不同来源、不同系统、不同结构安全检测数据进行统一管理和关联分析，提升检测效率和准确性。加大安全响应处置自动化能力的建设，沉淀工作过程中的人工经验，标准化响应处置操作，电子流程化应急预案，实现自动化、高效率的协同处置，实现快速遏制外部攻击行为的能力。定期组织开展实战化攻防演练，验证防控体系有效性和全面性，锻炼团队间响应协同能力，充分实践战法战术，持续优化完善应急预案及相关流程。鼓励利用行业信息 安全联合实验室等行业网络安全专业力量，通过行业安全服务提升信息系统安全防护能力。

证券公司持续提升安全攻击防控体系建设，以全面精准、集中化、自动化、协同化、知识化为目标，建立完善的应急处置制度、流程和预案，明确组织保障和协同机制，实现能力的全方位、多层次、立体化覆盖。鼓励有条件的证券公司定期组织开展实战化攻防演练，验证防控体系有效性和全面性，锻炼团队间响应协同能力，充分实践战法战术，持续优化完善应急预案及相关流程。

终端安全防护产品 ESP

零信任业务安全平台SDP

自动化渗透测试平台

网络安全攻防演练

网络靶场

4．持续加强网络安全态势感知和通报预警

落实监管部门关于网络和信息安全态势感知工作要求，开展机构网络安全风险信息的收集、汇总、分析，与行业网络和信息安全态势感知平台进行系统对接，报送网络安全监测预警信息，及时接收、处置来自国家、行业的网络安全预警通报信息。加强安全通报与预警能力建设，进一步优化安全事件、漏洞信息、威胁情报等内外部安全信息的通报和预警工作机制，制定监测、预警、通报和处置全流程的管理制度，开展技术平台的建设，提升公司内部监测预警、溯源分析的能力，实现上下联动、联防联控、群防群治的效果。

落实监管部门关于网络和信息安全态势感知工作要求，开展机构网络安全风险信息的收集、汇总、分析，与行业网络和信息安全态势感知平台进行系统对接，报送网络安全监测预警信息，及时接收、处置来自国家、行业的网络安全预警通报信息。加强安全通报与预警能力建设，进一步优化安全事件、漏洞信息、威胁情报等内外部安全信息的通报和预警工作机制，制定监测、预警、通报和处置全流程的管理制

度，开展技术平台的建设，提升公司内部监测预警、溯源分析的能力，实现上下联动、联防联控、群防群治的效果。

网络安全态势感知平台

5．完善移动客户端应用软件认证机制

充分认识移动客户端应用软件（以下简称 App）安全检测认证的重要性，参照行业 App 安全标准要求开发运营 App，鼓励委托具有资质的第三方专业机构开展 App 安全认证，及时发现 App 中存在的安全隐患，保障证券公司自行运营的 App 在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准，切实保护投资者个人信息安全。

证券公司充分了解移动客户端应用软件（以下简称 App）安全检测认证的重要性，参照行业 App 安全标准要求开发运营 App，鼓励委托具有资质的第三方专业机构开展 App 安全认证，

及时发现 App 中存在的安全隐患，保障证券公司自行运营的 App 在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准，切实保护投资者个人信息安全。

终端安全防护产品 ESP

6．加强数据安全管理体系建设

建立个人信息保护制度体系，明确工作职责，规范工作流程，加强对公司及外部合作机构管理。贯彻落实国家法律法规和行业监管要求，加强数据安全管理体系建设，在明确数据权责的基础上，对数据进行分类分级，并以数据全生命周期安全防护要求为重点，构建目标明确、职责清晰、层次分明、落地性强的制度规范。重点加强静态和动态数据资产的精确识别，围绕数据采集、传输、存储、加工、共享、删除、销毁等数据处理各环节，以精细化数据识别和权限管控、全链路数据流转刻画和动态监测、场景化数据加密和脱敏为核心内容，构建覆盖终端、边界、网络、服务器、数据库和应用系统的纵深安全管控能力。充分隔离生产环境与开发测试环境数据，对不同环境数据的交互和使用实施严格管控。重点规范核心数据、重要数据和投资者个人信息的有效识别、重点保护和安全使用，根据“依法合规、最小必要”原则，建立全面的数据安全监控能力及历史数据安全清理能力，具备多重身份认证能力，对于有权访问数据资产的用户，能够综合采用口令、密码技术、生物技术等信息识别用户身份，并基于角色进行用户访问控制，所有授权操作均符合最小授权原则，所有用户授权有记录。严格遵照法律法规要求对核心数据、重要数据处理活动进行风险评估，开展有效的个人信息保护影响评估，规范投资者个人信息处理活动，建立健全数据全生命周期的安全管理长效机制和防护措施。具有跨境相关业务与应用场景的证券公司，要严格落实国家法律法规和监管部门关于数据安全的各项管理规定，重点加强核心数据、重要数据及个人信息等的安全管理，认真组织开展数据安全评估，确保数据安全。

证券公司在 2023 年底前建立个人信息保护制度体系，明确工作职责，规范工作流程，加强对本公司及外部合作机构管理。应贯彻落实国家法律法规和行业监管要求，加强数据安全管理体系建设，在明确数据权责的基础上，对数据进行分类分级，并以数据全生命周期安全防护要求为重点，构建目标明确、职责清晰、层次分明、落地性强的制度规范。重点加强核心数据、重要数据及个人信息等的安全管理，严格遵照法律法规要求开展数据安全风险评估、个人信息保护影响评估和数据出境安全评估等，以评估促安全，推动数据安全管理体系和防护能力持续提升。

用户身份与访问管理 IAM

零信任业务安全平台SDP

数据安全分类分级

数据静态脱敏系统

业务脱敏系统

数据库脱敏系统

API 网关

API 安全监测系统

数据安全运维网关

数据安全态势感知

7．持续加强安全意识培训

安全培训工作遵循全员参与、持续改进的基本原则，由上而下推动全员形成对于信息安全重要性的一致共识，全面提升员工安全意识，持续提升员工的安全专业技能，做到信息安全“人人参与、人人有责”。

证券公司每年至少开展一次安全培训。安全培训工作应遵循全员参与、持续改进的基本原则，由上而下推动全员形成对于信息安全重要性的一致共识，全面提升员工安全意识。其中安全意识培训应全员覆盖。涉及研发、运维、基础设施建设等工作的重要信息科技岗位，应每年至少开展一轮安全培训，持续提升员工的安全专业技能，做到信息安全“人人参与、人人

有责”。

安全培训

8．做好安全全局性建设

持续跟进新技术演变趋势，对云计算、云原生、敏捷研发交付流水线等信息技术架构变革，加强安全体系的“同步规划、同步建设、同步运营”，实现安全能力的全流程、全区域覆盖。

证券公司持续跟进新技术演变趋势，对云计算、云原生、敏捷研发交付流水线等信息技术架构变革，加强安全体系的“同步规划、同步建

设、同步运营”，实现安全能力的全流程、全区域覆盖。

云原生安全平台