中基协日前发布《基金管理公司网络和信息安全三年提升计划(2023-2025)》(下称“提升计划”或“计划”),引发行业热切关注。
这一“提升计划”提出了“6体系1落实7保障”的工作思路与具体建议,设定了33项量化指标,着力促进公募基金管理公司持续加大信息技术资金及人员投入,持续健全网络和信息安全管理体系,不断强化系统全流程研发管控力度。
公募行业积极响应,纷纷表示将以“提升计划”作为开展自身网络和信息安全工作的行动指南。受访人士认为,“提升计划”为行业数字化转型及高质量发展提供有力支撑,公司正按照文件设计的方案和规程进行查漏补缺,进一步筑牢基金管理公司网络和信息安全基石,支撑基金行业持续高质量发展。
(资料图)
中基协对基金业提出新要求
强化信息安全迫在眉睫
“提升计划”的发布成为近期公司关注焦点,这让基金行业有了提升信息安全的“行动指南”。
据了解,此次“提升计划”推出前,经过了多轮的行业调研、研讨,同时参考国内外做法和标准,以及头部基金公司的实践,此次明确了基金管理公司网络和信息安全建设的总体要求、基本原则和主要目标,为基金公司制定网络和信息安全战略提供了指导。
对此,恒越基金IT运营负责人表示,近年来,国家颁布了《网络安全法》、《数据安全法》等一系列网络和信息安全相关法律法规,中国证监会也出台了《证券期货业网络和信息安全管理办法》等部门规章和标准。在此背景下,中基协最新发布《基金公司网络和信息安全三年提升计划(2023-2025)》,结合基金行业网络和信息安全的实际情况,对基金公司提升自身的信息安全能力作出了行动指南。
“2023至2025年是推进基金管理公司网络和信息安全治理现代化、促进基金管理公司数字化转型、助力基金管理公司高质量发展的重要时期。提升计划的发布非常及时,是网络和信息安全工作的最新行动指南。”汇安基金金融科技部也指出。
德邦基金相关人士表示,“提升计划”的发布将指导基金公司立足发展新形势、贯彻发展新理念、满足社会治理新需求,促进基金公司显著提升网络和信息安全保障水平,建立与基金公司发展愿景相匹配的网络和信息安全战略,发挥科技创新应用不断促进网络和信息安全稳步提升的作用,为行业数字化转型及高质量发展提供有力支撑。
值得一提的是,当前金融行业面临的网络和信息安全风险日益增加,是此次“提升计划”出台的重要背景。
红土创新基金表示,“提升计划”出台的背景是当前金融行业面临的网络和信息安全风险日益增加,特别是在数字化转型的背景下,金融机构的信息系统安全问题已经成为一个重要的社会治理问题。同时,随着资本市场改革的深入推进,基金公司作为重要的金融机构,必须加强网络和信息安全建设,保障资本市场的稳定运行。
公募基金前高管,财经自媒体矩阵创始人孙万龙也指出,“金融机构保存客户的身份和交易数据等核心信息,信息安全显得尤为重要。近年来行业内业出现多次信息安全事件,强化信息安全迫在眉睫。”
德邦基金指出,网络和信息安全攻击手段日新月异,基金公司所面临的网络和信息安全威胁也呈现多样化的趋势。作为普惠金融的重要载体,基金公司的网络和信息安全与广大投资者的信息和财产安全息息相关,因此,加强网络和信息安全能力建设,防范化解网络和信息安全风险,已成为公募基金行业开创高质量发展新局面的重要前提和基础保障。
IT资金投入和人员规划迎“硬指标”
短期中小公司成本压力大
相较以往,此次“提升计划”对基金公司的信息技术资金投入和人员规划提出了更高的要求。
从“提升计划”来看,规定基金公司公司当年年度营业收入大于10亿元(含),每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的5%;营业收入小于10亿元且大于2亿元(含),每年度信息技术资金投入应不少于最近三个财政年度平均营业收入的8%;而营业收入小于2亿元,每年度信息技术资金投入应不少于1500万元。
人员配置方面也有明确要求:基金管理公司自有信息技术人员总数,原则上应不少于员工总人数的8%,且不低于4人;其中,信息技术人员数量超过100人,应至少配置4名网络和信息安全人员;超过50人,应至少配置3名网络和信息安全人员;低于50人,应至少配置2名网络和信息安全人员;低于5人的,应至少配置1名网络和信息安全人员。
这些条款引发行业热议。“和过往相比,“提升计划”对基金公司自有信息技术人员总数要求有所提高,对信息技术资金投入和技术人员团队建设提出了明确的标准。”恒越基金IT运营负责人介绍。
汇安基金金融科技部表示,在科技资金投入支持方面,相比较之前的制度规范,“提升计划”以年度营业收入为参考指标,按照分类指引的方式,对不同发展阶段的基金管理公司提出了差异化的信息技术资源投入比例或最低投入要求。没有“一把尺子”和“一刀切”,实际执行中可操作性强。
对此红土创新基金也称是一个积极的变化,认为信息技术在金融行业中的重要性越来越大,对于基金公司来说,信息技术的投入和人员规划是非常关键的。
不过,每年最低1500万的投入,也让一些中小型基金公司倍感压力。
“结合多家中小公司近几年在网络安全工作上的现状,对于大多数中小公司而言,在费用投入和系统建设上,很难完全满足全面的安全体系建设的要求。”某中小型公司首席技术官直言,“目前哪怕是最低标准的目标,在小公司发展初期、尤其是还处于亏损的阶段,也很难完成。”
德邦基金也表示,“提升计划”对大、中、小不同规模的基金公司每年的IT预算及信息安全人员规模均作出了明确的底线规定。这个底线对很多基金公司而言,是过往实际投入的上限,因此短期内可能对该部分基金公司,尤其是中小基金公司带来一定的成本压力。
德邦基金同时认为,从长期看,投入的增加有助于基金公司进一步夯实IT基础,加强IT人员专业培训,从而提升网络及信息安全的综合保障能力,并进一步推动基金行业更高质量、更有效率、更为安全的发展。
红土创新基金也称,相比过往,这一投入比例和人员规划的要求确实有所提高,但这也是行业发展的必然趋势。公司将结合实际加大公司信息技术资金投入和人员规划力度,不断提升信息化水平和核心竞争力。
行业多维度发力网络安全
投入能力、人才建设、重视程度等成为难点
在面对现今多样化的网络和信息安全威胁,基金行业已在多维度发力,朝着更高质量和更高效率发展,不过也遭遇一些难点,如资金投入不足、人才团队建设难等。
“公司过往在制度保障、组织架构、安全投入、系统建设、数据安全、备份及应急演练、培训和审计等方面持续开展工作。”恒越基金IT运营负责人同时直言,面对现今多样化的网络和信息安全威胁,相关安全工作如何能更高质量、更有效率的开展,还是需要不断的努力。
据一家中型基金公司IT人士表示,该公司高度重视网络在信息安全管理工作,根据公司战略发展规划,制定了网络在信息安全管理制度、技术规范与中长期规划,在基金信息系统平台和IT基础设施平台方面已经完成了比较完善的“双平台”建设。公司持续加大信息技术资金及人员投入,持续健全网络和信息安全管理体系等,积极落实网络和信息安全监管要求。
“作为一家中小型基金公司,充分认识到做好网络和信息安全工作的重要性和紧迫性,因势而谋、应势而动、顺势而为。我们过去进行了包括加强网络安全防护、建立完善的信息安全管理制度、定期进行安全演练和培训等。我们还与专业的安全公司合作,对公司的网络和信息系统进行全面的安全检测和评估。”红土创新相关人士表示。
德邦基金也表示,历来高度重视网络和信息安全,在IT治理层面、网络建设方面、安全管控方面、数据治理方面等都制度、规范、要求。后续公司将对照“提升计划”31条细则,持续落实网络和信息安全能力建设的各项要求。
不过,不少基金公司认为,面对复杂多变的网络安全问题,基金公司尤其中小公募的投入能力、人才培养、战略布局等多方面存在困难,也是未来亟待解决和发展的问题。
“目前基金行业面临难点是投入能力问题,任何一家基金公司对信息和网络安全都极其重视,但因行业盈利模式单一,各家公司能力差异很大。很多中小公司尚在亏损或者艰难生存期,较高的投入要求可能会导致他们在其他方面的投入减少,比如在最核心的投研和客户服务方面。”孙万龙建议,在确保基础投入基础上能跟管理费收入一定比例挂钩,确保持续健康投入。
另一位基金公司人士也有类似观点,基金管理行业的竞争日趋激烈,中小基金管理公司在求生存谋发展的压力下,信息技术资源投入相对有限,但是需要面对与头部公司相同的网络和信息安全外部环境。因此,基金管理公司需要积极探索系统、多元和创新的方式开展网络和信息安全管理工作,充分意识到科技资金投入和人才团队建设对网络和信息安全的重要性,持续提升安全管理能力和资源投入,不断加强安全意识教育和技能训练,坚持人工预防和技术预防相结合,采取了多种信息技术安全安防措施,保障公司信息技术系统安全稳定高效运行。
人才也是一大问题。德邦基金则表示,网络和信息安全工作涉及面广,技术体系复杂,基金行业安全人才相对匮乏,人才的培养和引进难度较大,独立开展网络攻防演练等方面的落地成本也较高。如果行业层面能搭建网络和信息安全交流平台,组织技能培训,实现资源共享,交流前沿技术、实战经验、示范案例等,将帮助基金公司更高效落实网络和信息安全政策要求。
此外,上述红土创新人士表示,工作难点在于,网络和信息安全是一个不断变化的领域,新的安全威胁和漏洞不断涌现,需要不断跟进和更新安全措施,保持高度警惕和敏锐性。同时也需要加强员工的信息安全意识和培训,让每个人都能够意识到信息安全的重要性,做好自己的信息安全防护工作。
网络和信息安全至关重要
守牢系统性金融风险底线
行业内普遍对网络和信息安全工作非常重视。“一方面能在行业高质量发展的同时,牢牢守住不发生系统性金融风险的底线,另一方面也赋能行业信息化水平不断提升,支持资本市场的改革发展。”恒越基金IT运营负责人表示。
孙万龙认为,网络和信息安全重要性不言而言,尤其是在未来AI人工智能大发展背景下,“网络安全”为业务提供保障进一步上升到为业务提供赋能。
汇安基金金融科技部人士也表示,在基金业务与互联网技术、数字技术越来越紧密结合的今天,网络和信息安全保障能力已成为基金管理公司稳步发展的关键因素和核心竞争力。随着网络技术的日新月异,基金信息系统应用带来了新的安全风险和攻击方式,网络和信息安全防护对象由传统的PC、服务器拓展至云平台、大数据和泛终端,安全防御体系也在从被动防御向智能化的主动防御过渡。
“国内外一系列信息安全事件表明,如基金行业的网络信息系统没有安全防护能力,一旦发生重大风险事故,将给基金管理公司造成无法估量的影响。这会直接威胁到企业的生存和发展,造成无可挽回的经济损失,甚至影响整个基金行业的发展和社会稳定。”上述人士表示。
汇安基金上述人士还表示,近年来,基金管理公司不断深入探索如何将新技术如大数据、人工智能、云计算等应用于投资研究、风险管理等业务场景,以及打造数据中台、推进信息系统互联互通和数据共享,同时高度关注网络安全,在关键信息系统上构建了监测预警机制和等级保护,加强密码应用安全建设,为行业网络安全提供坚实防线。在信息技术充分赋能基金管理公司整体发展应用场景丰富性和复杂性日趋提升的情况下,网络和信息安全基础性、战略性作用进一步凸显,网络和信息安全管理工作需要在从“有”到“好”的发展路径上蓄力迈进。
德邦基金、红土创新等多家基金公司认为,网络安全问题不仅仅是基金公司核心竞争力的重要组成部分,更助益基金公司的品牌形象,提升客户信任度,提高公司的市场竞争力。
红土创新基金人士尤其提出,网络和信息安全不仅是基金公司业务安全和客户资产安全的重要保障,也是基金公司提升服务质量和客户满意度的重要手段。基金公司应该高度重视网络和信息安全问题,加强安全管理和技术投入,确保公司和客户的资产安全和业务安全。同时,也应该积极推动行业标准的制定和实施,共同维护基金行业的良好发展。
恒生电子相关人士也表示,网络和信息安全是基金行业高质量发展的生命线和基石。基金公司通过一系列措施保障行业信息安全和稳定,有利于基金公司进一步更新信息系统架构,促进行业基础设施升级,同时,信息安全建设为基金行业业务创新发展提供安全保障,防范和化解网络安全风险,确保资本市场安全、稳定和高效运行,切实保护投资者合法权益。
此外,某中小型公司首席技术官建议,监管和协会能够充分考虑行业各家公司不同的发展现状,以打造整体安全生态、行业共建的形式,引导行业核心机构、头部公司为中小型公司提供更多的帮助和指导,来切实的提升行业整体的网络和信息安全建设水平。