來源：證券日報

本報記者 周尚伃

當前，證券行業數字化轉型正加速推進，並不斷推動業務與技術的融合。不過，隨着網絡和信息安全管理日趨複雜，信息安全事件的頻發，使得行業網絡和信息安全管理能力面臨更大挑戰。

對此，爲加強網絡與信息系統安全穩定運行保障體系和能力建設，提高資本市場網絡和信息安全水平，推動數字賦能行業高質量發展等，中國證券業協會近日起草並向券商下發了《證券公司網絡和信息安全三年提升計劃（2023-2025）》（徵求意見稿）（以下簡稱《安全提升計劃》），並以附件的形式將重點事項進行任務分解，合計33項重點工作。

對券商六大方面明確提出

提升方向和要求

《安全提升計劃》主要任務聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題，從科技治理能力、科技投入機制、信息系統架構規劃設計、研發測試效能與質量、系統運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。

科技治理能力方面，券商需要在2023年年底前據公司的整體戰略規劃，制定全方位的網絡和信息科技戰略發展規劃，並完善信息系統的開發、測試、運維及信息安全等技術管理領域的管理體系。

科技投入機制方面，主要包括加大科技資金投入，加強科技人才隊伍建設等兩方面。近年來，券商對信息科技重視程度不斷增強，行業信息技術投入逐年增長，2017年至2021年期間行業持續加大信息技術領域的投入爲行業數字化轉型和高質量發展奠定堅實基礎，在信息技術領域累計投入近1200億元。

具體來看，《安全提升計劃》鼓勵有條件的公司2023年至2025年三個年度信息科技平均投入金額不少於上述三個年度平均淨利潤的8%或平均營業收入的6%。以最新披露數據爲例，2021年證券行業信息技術投入金額爲338.2億元，同比增長28.7%，占上一年度營業收入的7.7%；其中有10家券商的投入均超10億元，信息技術投入佔營業收入比例超6%的券商有20家，而不少中小券商也將金融科技視爲核心競爭力之一，華林證券、華鑫證券的投入佔比均已超20%；不過中信證券、中信建投等部分頭部券商的投入佔比均在6%以下。

申萬宏源預計，“未來假設全部券商達到6%收入要求標準，則按照過去三年平均收入計算，增量信息技術投資金額約22億元。 ”

與此同時，人才更是證券行業數字化轉型的關鍵所在。《安全提升計劃》要求券商信息科技專業人員不低於公司員工總數的6%，網絡和信息安全專業人員不低於信息科技專業人員的3%且不應少於4人。並且各券商要優化技術從業人員結構，聚焦專業素質能力提升，做好金融科技專業領域核心人才挖掘、培養，完善從業人員梯隊結構，做好青年技術員工等儲備。同時，健全從業人員培養體系、完善市場化激勵約束機制。

信息安全是重中之重

信息技術能力建設尤爲重要

當前，券商對數字化轉型的重要性及緊迫性已達成共識。根據中證協調查反饋顯示，共77家證券公司將數字化轉型列爲公司發展戰略，數字化轉型的“主戰場”逐步由零售經紀業務擴展到機構業務、資產管理、投資銀行、自營投資、中後臺等多個領域，數字化轉型覆蓋多業務領域的證券公司有69家，佔比高達89.61%。證券行業數字化轉型已進入全面加速階段，廣度和深度不斷加大。

中信建投非銀金融團隊認爲，“金融機構數字化轉型已不侷限於‘信息化+互聯網’賦能升級，而是建立‘全面化+跨行業’融合機制，作爲配置市場資源、提供風險定價的重要角色，券商的信息技術能力在此數字化浪潮中顯得尤爲重要。”

不過，券商在轉型過程中也逐漸暴露出一系列階段性問題，信息安全事件更是時有發生，對資本市場的安全平穩運行造成較大沖擊。數據顯示，在2017至2021年信息技術風險相關的監管處罰中，有26.09%的證券公司是因爲信息技術系統建設不完善，部分業務環節、風控環節未納入系統監管流程，從而受到監管處罰；其餘73.91%的證券公司主要是因爲信息技術應用過程中相應的管理機制不健全、管理流程缺失等內部合規管理不足造成。

2022年，某大型券商因系統交易問題登上微博熱搜，此後，監管火速對該券商採取責令改正的整改措施，並指出該券商在網絡安全事件中，存在變更管理不完善，應急處置不及時、不到位等問題。而在2021年，另有某券商更是發生集中交易系統部分中斷，影響交易時間合計約20分鐘，達到較大信息安全事件標準。

至此，《安全提升計劃》要求券商在2023年底前建立全面覆蓋業務、應用、底層基礎架構和基礎設施的信息系統運行監測體系，並持續完善，不斷提升運行監控的覆蓋度，應建設統一的告警平臺；並建立與持續完善軟件質量管理制度以及測試指引、制定信息系統備份管理策略、建立完善的漏洞管理制度、建立個人信息保護制度體系等。