1. 全面完善信息科技战略发展规划

证券公司在2023年底前根据公司的整体战略规划，制定及完善信息科技战略发展规划，明确实施策略和具体路径，规划应涵盖网络和信息安全领域并结合行业监管与公司业务发展，每年进行动态修订和持续完善。

2. 充分发挥科技治理组织作用

证券公司健全科技治理架构，加强和完善科技治理能力，每年定期召开科技治理组织工作会议，将重点任务分解到执行部门并明确评价标准，充分发挥科技治理组织在网络和信息安全保障能力与发展方面的作用。

3. 大力推动信息科技管理体系建设

证券公司筹划、建立和完善信息系统的开发、测试、运维及信息安全等技术管理领域的管理体系，持续提高研发效能与软件质量，提升运维管理服务及信息安全管理水平。

4. 健全信息科技风险管理三道防线

全面识别风险、揭示问题，每年定期组织各防线的内部审查，建立闭环管理机制，确保风险及问题妥当处置。

5. 持续完善供应商管理机制

完善供应商管理机制。每年定期开展供应商评估工作，对合作供应商的资质、服务质量等内容进行评估与审查，持续保障系统和服务的可靠性。

6. 合理加大科技资金投入

鼓励进一步合理加大科技资金投入，有条件的公司2023-2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7%，并保障充足的网络和信息安全经费投入。

7. 加强科技人才队伍建设

证券公司制定人才培养计划，鼓励进一步合理增加科技人员投入，持续充实信息科技专业人才队伍， 鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%，其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人。

8. 建立及完善系统架构管理机制

证券公司在2023年底前设立专业的信息系统架构管控角色、岗位、团队或联合组织，对公司的信息系统和架构资产进行规划设计及统一管理。

9. 建设及健全企业级应用架构

证券公司建立企业级通用服务或能力，加强业务一体化服务平台建设。将业务能力组件化、业务功能平台化，提高架构复用性。

10. 持续加强数据架构体系治理。

证券公司建立长期有效的企业级数据规划和发展战略，持续加强企业数据架构治理。

11. 推进技术架构转型

证券公司加强核心系统的技术攻关。鼓励有条件的 公司积极推进新一代核心系统的建设，根据不同客户群开展核心系统技术架构的转型升级工作。积极从集中式专有技术架构向分布式、低时延、开放技术架构转型，具备高可用、高性能、低时延、易扩展及松耦合等特性。

12. 推进技术架构升级

在云平台方面，鼓励利用分布式、云原生等先进技术对信息系统进行架构升级，提升系统的健壮性和扩展性。鼓励有条件的公司加快信息系统在私有云与行业云部署。具体实施上，制定相应的风险应急预案，控制系统建设风险。

13. 持续提高核心系统自主掌控能力

证券公司发挥信息科技部门的规划管理能力，熟悉和了解行业发展方向和技术演进线路。与重要供应商之间建立开放和紧密的合作关系，在行业生态健康发展的基础上，积极加强核心系统的自主掌控能力。

14. 建立及完善需求设计及分析机制

证券公司参照国际国内标准，全面梳理研发项目生命周期，建立及完善需求设计及分析机制，提升研发效能，增强业务响应效率。并且制定信息系统非功能性设计规范，在需求设计及分析过程中，对可用性、性能、时延、安全性等信息系统非功能要求进行充分评审，推动供应商加强对非功能性设计的重视。

15. 持续提升代码开发效率及安全

证券公司通过工具建设与规范制定，全面提升代码开发效率及安全。

16. 制定并落实信息系统代码审计规范

证券公司在2023年底前制定及完善涵盖自研系统和外购系统的代码审计规范。自研系统实现自研代码审计全覆盖。

17. 全面加强信息系统测试质量管控

证券公司组建与系统规模相匹配的测试人员或团队，设置合理的开发与测试人员配比。证券公司在 2023年底前建立与持续完善软件质量管理制度以及测试指引。重要信息系统新上线或较大变更上线前，全面完成测试验收。

18. 加强信息系统上下线管理

对于重要信息系统上线，证券公司组织相关人员对上线系统的业务流程合规性、权限设置清晰度、对其它业务的影响、测试遗留问题对系统上线后的影响等方面进行全面评估。

19. 全面管控信息系统变更风险

证券公司加强信息系统变更风险管控，采取合适的技术手段，识别系统变更的关联关系，充分评估变更影响，合理运用灰度发布策略，有效控制变更风险。持续完善变更管理机制，制定变更实施方案、变更影响分析、应急回退方案、业务验证等重要环节的落地要求，通过工具平台予以标准化。

20. 持续提升信息系统故障发现能力

证券公司在2023年底前建立覆盖业务、应用、底层基础架构和基础设施的信息系统运行监测体系，并持续完善，不断提升运行监控的覆盖度。

21. 全面提高事件预警及处置效率

证券公司建立专业化团队协同分工机制，明确岗位角色分工，强化岗位角色职责。持续完善事件管理制度，规范事件的处置流程，形成覆盖事件的预警、报告、处置、复盘等完整的闭环管理。不断完善事件应急预案，建立告警故障处置知识管理机制。

22. 健全组织级应急响应管理机制

证券公司在2023年底前建立健全自上而下、协同联动、高效有力的应急管理和舆情管理机制，提高公司应急管理和舆情管理水平，实现信息运行的实时舆情监测，并根据应急组织架构，压实各部门应急处置责任。

23. 做好信息系统容量与性能管理

证券公司结合信息科技战略发展规划及现有资源，在2023年底前建立信息系统容量评估机制，做好容量规划，每年定期组织对信息系统容量进行评估。

24. 完善重要信息系统数据备份能力。

证券公司在2023年底前制定信息系统数据备份管理策略，建立数据防丢、防删的权限管控机制和技术手段，提升重要信息系统数据备份管控能力。

25. 落实等级保护定级和测评要求

证券公司落实网络安全等级保护制度，依法履行网络安全等级保护义务，按照国家和证券期货业定级标准和定级要求，向公安机关办理备案和变更，并做好定级备案系统的安全建设和等保测评工作。

26. 深化漏洞全生命周期管控

证券公司在2023年底前建立完善的漏洞管理制度，明确分级分类标准、职责分工与处置要求，漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。在软件研发方面，建设与研发过程融合的应用安全管理体系。在供应链方面，制定供应链安全管理制度。采用内、外结合的漏洞扫描、渗透测试、实战攻防演习等方式开展常态化的风险检测，进行全网络范围的资产梳理和漏洞扫描，并建设组织级的漏洞管理平台，同步汇总漏洞结果，并持续跟进修复，形成管理闭环。

27. 提升安全攻击防控能力

证券公司持续提升安全攻击防控体系建设，以全面精准、集中化、自动化、协同化、知识化为目标，建立完善的应急处置制度、流程和预案，明确组织保障和协同机制，实现能力的全方位、多层次、立体化覆盖。鼓励有条件的证券公司定期组织开展实战化攻防演练，验证防控体系有效性和全面性，锻炼团队间响应协同能力，充分实践战法战术，持续优化完善应急预案及相关流程。

28. 持续加强网络安全态势感知和通报预警

落实监管部门关于网络和信息安全态势感知工作要求，开展机构网络安全风险信息的收集、汇总、分析，与行业网络和信息安全态势感知平台进行系统对接，报送网络安全监测预警信息，及时接收、处置来自国家、行业的网络安全预警通报信息。加强安全通报与预警能力建设，进一步优化安全事件、漏洞信息、威胁情报等内外部安全信息的通报和预警工作机制，制定监测、预警、通报和处置全流程的管理制度，开展技术平台的建设，提升公司内部监测预警、溯源分析的能力，实现上下联动、联防联控、群防群治的效果。

29. 完善移动客户端应用软件认证机制

证券公司充分了解移动客户端应用软件（以下简称 App ）安全检测认证的重要性，参照行业 App 安全标准要求开发运营App，鼓励委托具有资质的第三方专业机构开展App安全认证及时发现 App 中存在的安全隐患，保障证券公司自行运营的 App 在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准，切实保护投资者个人信息安全。

30. 加强数据安全管理体系建设

证券公司在2023年底前建立个人信息保护制度体系，明确工作职责，规范工作流程，加强对本公司及外部合作机构管理。应贯彻落实国家法律法规和行业监管要求，加强数据安全管理体系建设，在明确数据权责的基础上，对数据进行分类分级，并以数据全生命周期安全防护要求为重点，构建目标明确、职责清晰、层次分明、落地性强的制度规范。重点加强核心数据、重要数据及个人信息等的安全管理，严格遵照法律法规要求开展数据安全风险评估、个人信息保护影响评估和数据出境安全评估等，以评估促安全，推动数据安全管理体系和防护能力持续提升。

31. 持续加强安全意识培训

证券公司每年至少开展一次安全培训。安全培训工作应遵循全员参与、持续改进的基本原则，由上而下推动全员形成对于信息安全重要性的一致共识，全面提升员工安全意识。其中安全意识培训应全员覆盖。涉及研发、运维、基础设施建设等工作的重要信息科技岗位，应每年至少开展一轮安全培训，持续提升员工的安全专业技能，做到信息安全“人人参与、人人有责”。

32. 做好安全全局性建设

证券公司持续跟进新技术演变趋势，对云计算、云原生、敏捷研发交付流水线等信息技术架构变革，加强安全体系的“同步规划、同步建设、同步运营”，实现安全能力的全流程、全区域覆盖。