近日，中證協(xié)正在向券商調(diào)研信息技術(shù)的相關(guān)情況。據(jù)悉，前幾年，中證協(xié)部署過券商信息技術(shù)的三年規(guī)劃，如今這一規(guī)劃已經(jīng)到期，中證協(xié)正在調(diào)研券商的落實(shí)情況。

　　據(jù)悉，本次調(diào)研涉及了70多項(xiàng)具體任務(wù)的落實(shí)，包括券商年度信息科技投入平均金額是否不少于年度平均凈利潤(rùn)的10%或平均營(yíng)業(yè)收入的7%？券商面向客戶應(yīng)用的主用App通過證券行業(yè)安全認(rèn)證的數(shù)量是多少？

　　三年前提出規(guī)劃

　　2023年6月，中證協(xié)發(fā)布了《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023—2025)》(下稱《安全提升計(jì)劃》)，目的在于推動(dòng)證券公司加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行保障體系和能力建設(shè)，提高資本市場(chǎng)網(wǎng)絡(luò)和信息安全水平，防范化解網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)。

　　《安全提升計(jì)劃》起草說明中提到，2022年上半年，證券行業(yè)網(wǎng)絡(luò)安全事件發(fā)生較為頻繁，對(duì)資本市場(chǎng)的安全平穩(wěn)運(yùn)行造成較大沖擊。行業(yè)整體信息技術(shù)投入不足、信息系統(tǒng)架構(gòu)落后、信息技術(shù)管理能力欠缺，已經(jīng)成為長(zhǎng)期制約行業(yè)信息系統(tǒng)安全的主要問題。

　　針對(duì)上述情況，《安全提升計(jì)劃》聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題，從科技治理能力、科技投入機(jī)制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計(jì)、研發(fā)測(cè)試效能與質(zhì)量、系統(tǒng)運(yùn)行保障能力和網(wǎng)絡(luò)信息安全防護(hù)體系等六個(gè)方面明確提出提升方向和要求。

　　《安全提升計(jì)劃》明確了六大類31項(xiàng)主要任務(wù)。其中，持續(xù)提升科技治理水平的任務(wù)共5項(xiàng)，建立科學(xué)合理的科技投入機(jī)制的任務(wù)共2項(xiàng)，增強(qiáng)信息系統(tǒng)架構(gòu)規(guī)劃掌控能力的任務(wù)共5項(xiàng)，強(qiáng)化系統(tǒng)研發(fā)測(cè)試管理能力的任務(wù)共4項(xiàng)，夯實(shí)系統(tǒng)運(yùn)行保障能力的任務(wù)共7項(xiàng)，健全信息安全防護(hù)體系的任務(wù)共8項(xiàng)。

　　檢驗(yàn)實(shí)際落實(shí)成效

　　近日，中證協(xié)向券商發(fā)送了《關(guān)于開展證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023—2025)總結(jié)評(píng)估調(diào)研的函》。中證協(xié)表示，為持續(xù)提升行業(yè)網(wǎng)絡(luò)和信息安全保障能力，進(jìn)一步掌握各證券公司《安全提升計(jì)劃》實(shí)施情況，根據(jù)監(jiān)管部門做好總結(jié)評(píng)估工作的要求，中證協(xié)擬開展“證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃(2023—2025)總結(jié)評(píng)估調(diào)研”工作，各家券商需要根據(jù)實(shí)際情況認(rèn)真填寫相關(guān)問題。

　　記者注意到，這次調(diào)研從科技治理、科技投入、系統(tǒng)架構(gòu)、安全防護(hù)、應(yīng)急響應(yīng)、合規(guī)監(jiān)管等多個(gè)維度，全面審視了券商信息安全建設(shè)的成效與不足。整體采用分類考核模式，將71項(xiàng)任務(wù)劃分為“工作任務(wù)”與“鼓勵(lì)性任務(wù)”兩類。其中55項(xiàng)為強(qiáng)制性工作任務(wù)，占比超七成，是券商必須完成的基礎(chǔ)要求；16項(xiàng)為鼓勵(lì)性任務(wù)，引導(dǎo)有條件的券商進(jìn)一步提升安全水平。

　　科技投入不少于凈利潤(rùn)的10%

　　在建立科學(xué)合理的科技投入機(jī)制大項(xiàng)下，有兩個(gè)細(xì)分項(xiàng)。一個(gè)是合理加大科技資金投入。鼓勵(lì)進(jìn)一步合理加大科技資金投入，有條件的公司在2023—2025年三個(gè)年度信息科技投入平均金額不少于上述三個(gè)年度平均凈利潤(rùn)的10%或平均營(yíng)業(yè)收入的7%，并保障充足的網(wǎng)絡(luò)和信息安全經(jīng)費(fèi)投入。

　　就此，中證協(xié)調(diào)研的問題是：貴司2023—2025年三個(gè)年度的信息科技投入的平均金額是否不少于上述三個(gè)年度平均凈利潤(rùn)的10%？以及貴司2023—2025年三個(gè)年度的信息科技投入的平均金額是否不少于上述三個(gè)年度平均營(yíng)業(yè)收入的7%？

　　據(jù)券商中國(guó)記者了解，中信證券、國(guó)泰君安等頭部機(jī)構(gòu)2023—2024年信息科技投入占營(yíng)收比例均穩(wěn)定在8%以上，遠(yuǎn)超“平均營(yíng)收7%”的要求；部分券商甚至將安全投入單獨(dú)列支，占科技總投入的比例達(dá)25%，重點(diǎn)投向零信任架構(gòu)、AI安全檢測(cè)等前沿領(lǐng)域。

　　另一個(gè)細(xì)分項(xiàng)是加強(qiáng)科技人才隊(duì)伍建設(shè)。證券公司制定人才培養(yǎng)計(jì)劃，鼓勵(lì)進(jìn)一步合理增加科技人員投入，持續(xù)充實(shí)信息科技專業(yè)人才隊(duì)伍，鼓勵(lì)有條件的證券公司結(jié)合自身實(shí)際情況逐步提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%，其中信息安全專業(yè)人員比例至信息科技專業(yè)人員總數(shù)的3%并且不少于2人。中證協(xié)調(diào)研券商是否達(dá)到上述要求。

　　完善APP認(rèn)證機(jī)制

　　中證協(xié)調(diào)研的問題是：貴司面向客戶應(yīng)用的主用App有幾個(gè)？通過了證券行業(yè)安全認(rèn)證的數(shù)量是多少？

　　在健全信息安全防護(hù)體系的大項(xiàng)下，有一個(gè)細(xì)分項(xiàng)是完善移動(dòng)客戶端應(yīng)用軟件認(rèn)證機(jī)制。證券公司充分了解移動(dòng)客戶端應(yīng)用軟件(以下簡(jiǎn)稱“App”)安全檢測(cè)認(rèn)證的重要性，參照行業(yè)App安全標(biāo)準(zhǔn)要求開發(fā)運(yùn)營(yíng)App，鼓勵(lì)委托具有資質(zhì)的第三方專業(yè)機(jī)構(gòu)開展App安全認(rèn)證，及時(shí)發(fā)現(xiàn)App中存在的安全隱患，保障證券公司自行運(yùn)營(yíng)的App在程序開發(fā)、個(gè)人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國(guó)家及行業(yè)信息安全標(biāo)準(zhǔn)，切實(shí)保護(hù)投資者個(gè)人信息安全。