中基协日前发布《基金管理公司网络和信息安全三年提升计划(2023-2025)》(下称“提升计划”或“计划”),引发行业热切关注。
这一“提升计划”提出了“6体系1落实7保障”的工作思路与具体建议,设定了33项量化指标,着力促进公募基金管理公司持续加大信息技术资金及人员投入,持续健全网络和信息安全管理体系,不断强化系统全流程研发管控力度。
公募行业积极响应,纷纷表示将以“提升计划”作为开展自身网络和信息安全工作的行动指南。受访人士认为,“提升计划”为行业数字化转型及高质量发展提供有力支撑,公司正按照文件设计的方案和规程进行查漏补缺,进一步筑牢基金管理公司网络和信息安全基石,支撑基金行业持续高质量发展。
中基协对基金业提出新要求
强化信息安全迫在眉睫
“提升计划”的发布成为近期公司关注焦点,这让基金行业有了提升信息安全的“行动指南”。
据了解,此次“提升计划”推出前,经过了多轮的行业调研、研讨,同时参考国内外做法和标准,以及头部基金公司的实践,此次明确了基金管理公司网络和信息安全建设的总体要求、基本原则和主要目标,为基金公司制定网络和信息安全战略提供了指导。
对此,恒越基金IT运营负责人表示,近年来,国家颁布了《网络安全法》、《数据安全法》等一系列网络和信息安全相关法律法规,中国证监会也出台了《证券期货业网络和信息安全管理办法》等部门规章和标准。在此背景下,中基协最新发布《基金公司网络和信息安全三年提升计划(2023-2025)》,结合基金行业网络和信息安全的实际情况,对基金公司提升自身的信息安全能力作出了行动指南。
“2023至2025年是推进基金管理公司网络和信息安全治理现代化、促进基金管理公司数字化转型、助力基金管理公司高质量发展的重要时期。提升计划的发布非常及时,是网络和信息安全工作的最新行动指南。”汇安基金金融科技部也指出。
德邦基金相关人士表示,“提升计划”的发布将指导基金公司立足发展新形势、贯彻发展新理念、满足社会治理新需求,促进基金公司显著提升网络和信息安全保障水平,建立与基金公司发展愿景相匹配的网络和信息安全战略,发挥科技创新应用不断促进网络和信息安全稳步提升的作用,为行业数字化转型及高质量发展提供有力支撑。
值得一提的是,当前金融行业面临的网络和信息安全风险日益增加,是此次“提升计划”出台的重要背景。
红土创新基金表示,“提升计划”出台的背景是当前金融行业面临的网络和信息安全风险日益增加,特别是在数字化转型的背景下,金融机构的信息系统安全问题已经成为一个重要的社会治理问题。同时,随着资本市场改革的深入推进,基金公司作为重要的金融机构,必须加强网络和信息安全建设,保障资本市场的稳定运行。
公募基金前高管,财经自媒体矩阵创始人孙万龙也指出,“金融机构保存客户的身份和交易数据等核心信息,信息安全显得尤为重要。近年来行业内业出现多次信息安全事件,强化信息安全迫在眉睫。”
德邦基金指出,网络和信息安全攻击手段日新月异,基金公司所面临的网络和信息安全威胁也呈现多样化的趋势。作为普惠金融的重要载体,基金公司的网络和信息安全与广大投资者的信息和财产安全息息相关,因此,加强网络和信息安全能力建设,防范化解网络和信息安全风险,已成为公募基金行业开创高质量发展新局面的重要前提和基础保障。
IT资金投入和人员规划迎“硬指标”
相较以往,此次“提升计划”对基金公司的信息技术资金投入和人员规划提出了更高的要求。
从“提升计划”来看,规定基金公司公司当年年度营业收入大于10亿元(含),每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的5%;营业收入小于10亿元且大于2亿元(含),每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的8%;而营业收入小于2亿元,每年度信息技术资金投入应不少于1500万元。
人员配置方面也有明确要求:基金管理公司自有信息技术人员总数,原则上应不少于员工总人数的8%,且不低于4人;其中,信息技术人员数量超过100人,应至少配置4名网络和信息安全人员;超过50人,应至少配置3名网络和信息安全人员;低于50人,抖客网,应至少配置2名网络和信息安全人员;低于5人的,应至少配置1名网络和信息安全人员。
这些条款引发行业热议。“和过往相比,“提升计划”对基金公司自有信息技术人员总数要求有所提高,对信息技术资金投入和技术人员团队建设提出了明确的标准。”恒越基金IT运营负责人介绍。
汇安基金金融科技部表示,在科技资金投入支持方面,相比较之前的制度规范,“提升计划”以年度营业收入为参考指标,按照分类指引的方式,对不同发展阶段的基金管理公司提出了差异化的信息技术资源投入比例或最低投入要求。没有“一把尺子”和“一刀切”,实际执行中可操作性强。
对此红土创新基金也称是一个积极的变化,认为信息技术在金融行业中的重要性越来越大,对于基金公司来说,信息技术的投入和人员规划是非常关键的。
不过,每年最低1500万的投入,也让一些中小型基金公司倍感压力。
“结合多家中小公司近几年在网络安全工作上的现状,对于大多数中小公司而言,在费用投入和系统建设上,很难完全满足全面的安全体系建设的要求。”某中小型公司首席技术官直言,“目前哪怕是最低标准的目标,在小公司发展初期、尤其是还处于亏损的阶段,也很难完成。”
德邦基金也表示,“提升计划”对大、中、小不同规模的基金公司每年的IT预算及信息安全人员规模均作出了明确的底线规定。这个底线对很多基金公司而言,是过往实际投入的上限,因此短期内可能对该部分基金公司,尤其是中小基金公司带来一定的成本压力。
德邦基金同时认为,从长期看,投入的增加有助于基金公司进一步夯实IT基础,加强IT人员专业培训,从而提升网络及信息安全的综合保障能力,并进一步推动基金行业更高质量、更有效率、更为安全的发展。
红土创新基金也称,相比过往,这一投入比例和人员规划的要求确实有所提高,但这也是行业发展的必然趋势。公司将结合实际加大公司信息技术资金投入和人员规划力度,不断提升信息化水平和核心竞争力。
行业多维度发力网络安全
投入能力、人才建设、重视程度等成为难点
在面对现今多样化的网络和信息安全威胁,基金行业已在多维度发力,朝着更高质量和更高效率发展,不过也遭遇一些难点,如资金投入不足、人才团队建设难等。
“公司过往在制度保障、组织架构、安全投入、系统建设、数据安全、备份及应急演练、培训和审计等方面持续开展工作。”恒越基金IT运营负责人同时直言,面对现今多样化的网络和信息安全威胁,相关安全工作如何能更高质量、更有效率的开展,还是需要不断的努力。
原标题:【基金业又有重要新规!中小公司压力来了】 内容摘要:中基协日前发布《基金管理公司网络和信息安全三年提升计划(2023-2025)》(下称“提升计划”或“计划”),引发行业热切关注。 这一“提升计划”提出了“6体系1落实7保障”的工作思路与具体 ... 文章网址:https://www.doukela.com/zmt/237925.html; 免责声明:抖客网转载此文目的在于传递更多信息,不代表本网的观点和立场。文章内容仅供参考,不构成投资建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。 |