网安大咖说·镜鉴栏目通过对网安大咖说嘉宾访谈内容的深度提炼,撷取群英论道之精髓,汇聚众智谋策之高远,为从业者提供宝贵的经验和启迪。集思广益、博采众长,意在以镜为鉴,观网安之百态,立防范之策略,计网安之未来。
网安大咖说第一期:拐点已至——2023安全新风口邀请了国投证券安全总监李维春和中银证券科技风险与安全负责人蒋琼为栏目嘉宾,以《网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》)征求意见稿出台为背景,探讨金融行业网络安全的应对策略以及运营理念。
蒋琼:2019年的时候,证券行业就出台了一些证券行业的信息技术的指引,《网络和信息安全三年提升计划》征求意见稿的出台,确实为行业指明了方向,并在多个层面上体现了行业的独特性和关键需求。
首先,这些指引和计划的出台,标志着国家对证券行业科技发展和信息安全的重视达到了新的高度。通过细化和深化科技内容的规划,国家期望在证券行业中实现技术应用的更加精准和高效,同时确保信息安全得到强有力的保障。
其次,证券行业作为金融市场的重要组成部分,其业务与技术的耦合度极高。这既带来了业务的快速响应和市场的灵活性,也对信息安全提出了更高的要求。因此,在《网络和信息安全三年提升计划》中,对安全和业务的关联关系进行了深入的剖析和阐述,旨在确保在推动业务发展的同时,信息安全能够得到有效的保障。
此外,这些指引和计划还强调了业务与安全的互相支撑关系。在证券行业中,业务的发展离不开信息技术的支持,而信息安全则是业务稳健运行的基础。因此,在规划和实施过程中,需要充分考虑业务和安全之间的平衡和协同,确保两者能够相互促进、共同发展。
总的来说,这些指引和计划不仅为证券行业的科技发展和信息安全提供了有力的指导,也体现了国家对行业特点和需求的深入理解和把握。它们的实施将有助于推动证券行业的持续健康发展,提升行业的整体竞争力。
李维春:这份《网络和信息安全三年提升计划》为我们揭示了以往对于网络与信息安全的片面理解。过去,很多人认为这一领域仅仅是安全团队的职责,局限于网络层面或技术上的攻防对抗。然而,这份计划为我们展现了更广阔的图景。它明确指出,网络和信息安全工作远不止于此,而是一个涵盖研发测试、质量控制、运维安全生产保障等多个环节的体系化建设过程。这为我们全面把握网络和信息安全工作的范畴和领域提供了重要指导。
此外,我注意到,在金融行业,似乎并未见到其他类似的信息安全三年规划。这进一步凸显了这份计划的独特性和重要性。它体现了监管机构对资本市场安全工作的高度重视,彰显了确保市场稳定、保护投资者权益的决心。这份计划的出台,无疑为整个行业的网络安全和信息安全工作提供了有力的支持和保障。
李维春:在证券行业中,关于《网络和信息安全三年提升计划》与安全工作现状的差距,确实存在显著的不同。对于头部的机构而言,由于其在信息技术治理和安全架构体系方面已经具备了较高的成熟度,因此我相信它们在执行这份计划时,能够达成七八成甚至更高的完成度。这些机构通常拥有完善的IT治理结构和专业的安全团队,能够确保网络安全和信息安全工作的高效运行。
然而,对于中小机构来说,情况可能就不那么乐观了。由于这些机构在信息技术和安全方面的投入相对较少,同时受到自身业务发展等因素的限制,它们在执行这份计划时可能会面临较大的困难。这些机构的IT治理程度可能不够完善,人员能力也可能存在一定的差距,因此在实现网络安全和信息安全工作目标上可能会存在较大的差距。
针对这种情况,中小机构需要加大在信息技术和安全方面的投入,提升自身的IT治理水平,加强人员培训和能力提升。同时,他们也可以积极借鉴头部机构的经验和做法,结合自身实际情况,制定适合自己的网络安全和信息安全工作策略。此外,监管机构也可以加强对中小机构的指导和支持,帮助它们更好地执行《网络和信息安全三年提升计划》,提升整个证券行业的网络安全和信息安全水平。
蒋琼:当我们谈论证券期货行业时,我们不仅仅局限于证券公司,基金行业等其他细分领域同样值得我们关注。不同的细分领域在应对网络与信息安全挑战时,确实会展现出各自的特点和难点。例如,基金行业可能在某些方面的投入已经相对较高,因此对于他们来说,进一步提升的空间可能并不如其他行业那么明显。
然而,这并不意味着基金行业可以忽视网络与信息安全工作。相反,无论在哪个细分领域,都需要从公司层面展现出对整个安全工作的重视程度。这不仅是监管的要求,更是企业稳健发展的内在需求。
在投入和体系建设方面,我认为我们不应该过分关注与其他行业的比较,而是应该立足自身,根据现有的条件和成熟度基准来制定提升计划。对于组织人员方面,我特别赞同强调内部人员能力的提升。以前,我们可能过多地依赖外部安全力量,但长远来看,建立内部的安全体系和培养自己的安全团队才是更为可靠和有效的做法。
这份《网络和信息安全三年提升计划》为我们指明了方向,它鼓励我们从体系上建立安全机制,提升内部人员的能力。同时,通过设立嘉奖等措施,也激发了内部人员积极参与和规划安全工作的热情。我相信,只要我们认真执行这份计划,无论在哪个细分领域,我们都能取得显著的进步,为行业的稳健发展贡献力量。
李维春:数量和能力确实是我们在加强网络和信息安全工作中需要重点关注的两个方面。而且,这种关注不应该仅限于狭义的安全团队,而是应该贯穿于整个IT治理体系的各个环节。
从战略规划到研发、测试、运维,每一个环节都需要有具备相应能力的人员参与,这样才能确保整个体系的安全和稳定。这种综合性的水平的提高,是我们应对当前复杂多变的网络安全环境所必需的。
因此,我们在实际工作中,不仅要加强安全团队的建设,提升他们的专业能力,同时也要关注其他IT部门的人员能力提升,形成一个协同作战的合力。只有这样,我们才能更好地保障网络和信息的安全,为企业的稳健发展提供有力的支撑。
安全意识的重要性同样无法忽视。很多时候,我们过于关注技术领域的安全左移,却忽视了安全意识在整个公司范围内的普及和提升。安全意识的教育工作不应该仅仅由IT部门负责,而是需要整个公司治理层面的支持和参与。
安全能力的提升需要在公司层面进行规划和推动,这包括制定相关的安全政策和流程,提供必要的安全培训和宣传,以及建立有效的安全监测和应急响应机制。只有当整个公司都具备了足够的安全意识和能力,我们才能真正实现安全左移,确保在整个业务流程中都充分考虑安全因素。
因此,我们需要在公司治理层面加强对安全工作的重视和投入,推动安全意识的普及和提升,让安全成为公司文化的一部分。只有这样,我们才能真正做好安全工作,确保公司的稳健发展。
蒋琼:正如上述提到的,每家证券公司的安全团队在组织架构中的位置都有所不同,这反映了各家公司在安全管理和组织架构方面的差异。然而,从这份文件中我们可以看到,安全不再仅仅是狭义的传统网络安全领域的问题,而是涉及到整个科技全业务流程的安全。
安全左移是一个重要的理念,它强调在研发早期阶段就引入安全考虑,以确保在整个开发过程中都能有效地管理和控制安全风险。如果安全团队仅仅局限于运维角色,那么确实很难推动整个企业的安全意识。因此,安全团队需要更多地参与到研发、测试等各个环节中,确保安全理念能够真正贯穿于整个业务流程。
同时,这份文件也倡导我们将整个安全考虑覆盖到更广泛的领域,不仅仅是传统的网络安全问题,还包括数据安全、业务连续性等方面。这需要我们具备更全面的安全视野和更深入的安全理解。
因此,我认为这份文件对于推动证券行业的安全工作具有非常重要的意义。它提醒我们要从更广阔的视角来看待安全问题,并推动整个行业在安全管理和组织架构方面做出积极的改变。
注:2023年6月9日,中国证券业协会正式印发《证券公司网络和信息安全三年提升计划(2023-2025)》(简称《安全提升计划》),明确了六大类31项主要任务,其中,鼓励信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%;鼓励有条件的券商结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%等。本期讨论内容为2023年1月《安全提升计划》征求意见稿出台背景。
下期看点:《安全提升计划》的提出,跟实际的安全工作差距在哪里?怎么弥合政策与实际工作的差距?欢迎关注网安大咖说·镜鉴(中)| 企业如何因地制宜地实施《安全提升计划》?
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
