主要观点总结
本文报道了全国金融标准化技术委员会证券分技术委员会信息安全专业工作组(WG41)在默安科技总部举办2024年度首次工作会议的情况。会议由中国证监会相关领导主持,涉及多个证券公司代表以及专家参加。会议中总结了证券期货行业的网络和信息安全管理现状和挑战,提出了未来WG41的工作方向和目标。
关键观点总结
关键观点1: 会议举办及参与情况
全国金融标准化技术委员会证券分技术委员会信息安全专业工作组(WG41)在默安科技总部成功举办了2024年度的首次工作会议,由中国证监会科技司、证标委秘书处、中证技术、各大证券交易所及信息安全测评认证中心等单位代表参加。
关键观点2: 会议背景及行业现状
随着证券期货业的发展和创新,网络和信息安全管理面临新的挑战。中国证券监督管理委员会为行业制定了相关管理办法和标准规划,要求证券公司、期货公司等主体加强网络和信息安全、投资者个人信息保护等。
关键观点3: WG41工作组的任务与行动
WG41工作组积极推动证券期货行业信息安全专业领域标准规划的落实,根据监管要求、行业需求和标准建设实际情况进行修订和完善。同时,开展行业影响分析、标准需求调研及标准预研等工作。
关键观点4: 软件供应链安全治理的重要性
软件供应链安全在证券期货业的安全管理中至关重要。随着金融行业监管要求的深化,软件供应链安全的重要性日益凸显。孟瑾强调了软件供应链安全的挑战和存在的问题,并提出了实现软件供应链安全管理的路径和具体措施。
关键观点5: 会议总结和展望
会议上,专家成员听取了关于行业标准化工作进展情况的介绍,并针对WG41工作组2024年下半年重点工作展开讨论交流,为下一阶段标准规划与实施的推进明确了工作方向。
正文
8月13日,全国金融标准化技术委员会证券分技术委员会信息安全专业工作组(WG41)在默安科技总部成功举办了2024年度的首次工作会议。会议由WG41工作组首席专家、国泰君安证券首席信息官俞枫先生主持,中国证监会科技司、证标委秘书处、中证技术、上海证券交易所、深圳证券交易所、大连商品交易所、上海信息安全测评认证中心,以及组内专家和相关单位代表20余人通过“现场+线上”方式参加会议。
2023年5月1日,中国证券监督管理委员会制定并发布《证券期货业网络和信息安全管理办法》,为证券公司、期货公司、基金公司等主体的网络和信息安全、投资者个人信息保护、信息系统分类分级管理等提出明确要求。同年,为适应证券期货业业务创新与发展,降低行业整体信息安全风险与成本,证标委组织制定了《证券期货业信息安全标准规划(2023-2025)》,为部署证券期货业信息安全标准工作提供了科学指导。
在证标委的领导下,WG41工作组积极推动证券期货行业信息安全专业领域标准规划落实,并根据监管要求变化、行业业务发展需要以及标准建设实际情况,修订和完善标准规划,推进标准建设和转化,开展行业影响分析、标准需求调研及标准预研。
会上,俞枫先生代表专业工作组作2024上半年度工作总结,他全面回顾了上半年各项工作开展情况,对团队取得的成果表示了肯定。此外,中证技术代表就行业威胁情报标准的研究课题进行了详细的工作汇报。在新兴技术的应用方面,组内专家分别从人工智能和软件供应链安全开展深入的分享和讨论。
证券期货业作为国家金融领域的重要支柱,依赖大量软件系统来支持其核心业务和运营。而随着金融行业的监管要求不断深化,证券期货业的网络和信息安全管理面临着全新的挑战,软件供应链安全的重要性日益凸显。默安科技解决方案架构师孟瑾在《风险和政策双轮驱动下的软件供应链安全治理》主题演讲中强调,当前软件供应链攻击呈现易攻难防的特点,给证券期货业的安全管理工作带来了不小的挑战,挑战主要体现在:其一,
供应链参与方责任界定不清
;
其二,
软件供应链风险识别定位不准
;
其三,
软件供应链风险权重界定不明
;
其四,
软件供应链风险处置效率低下
。
软件供应链安全标准正在逐步迈向体系化发展过程,趋向务实,注重深入探索管控的重点和具体的落控手段。随着《GB/T 43698 软件供应链安全要求》、《GB/T 43848 软件产品开源代码安全评价方法》等相关标准的发布,为软件供应链安全管理提供了具体的工作指导和参考标准。谈到软件供应链安全管理的实现路径,孟瑾表示,软件供应过程有明显的阶段划分,可以从不同的阶段落实重点控制措施。
首先,采购阶段的入口管控非常重要。
对于供应商的规模、资质、安全承诺、来源、既往的服务质量,都应加强审核、细化要求、并开展安全评估;
第二,针对自研场景,进行开发安全精细化智能管控。
目前,金融行业已经建立了完整的开发安全体系,需要进一步进行精细化的开发安全管控,包括漏洞检出率提升、误报率降低,漏洞分析与修复的智能化和自动化等,提升成效;
第三,
针对外包场景,进行
软件供应链安全风险检测评估。
制定软件供应链安全检测标准,尽可能全面和深入地识别代码和配置层面的安全风险,以及供应链安全关注的中断与合规风险;
第四,
建立行业级、场景化的物料清单格式规范和管理机制
。
在软件上线前即生成建立软件物料清单,并且通过制定相关的管理制度、格式规范,形成一种常态化的管理机制,确保清单数据的时效性、完整性、安全性;
第五,
提升供应链风险应急处置成效。
在运维阶段,依托软件物料清单,落实高效的风险排查、针对性预警通报以及清晰的责任落实和进度跟踪,确保处理的成效。
随后,证标委信息安全专业工作组(WG41)专家成员还认真听取了证标委秘书处关于行业标准化工作进展情况的介绍,以及中国证监会科技司安全处的总结指导意见,针对WG41工作组2024年下半年重点工作展开讨论交流,为下一阶段标准规划与实施的推进明确了工作方向。
