重視網絡安全，中證協向券商提要求：未來三年IT投入不低于平均凈利潤10%或平均營業收入7%

每經記者 王硯丹    每經編輯 趙云    

近日，中國證券業協會印發《證券公司網絡和信息安全三年提升計劃（2023-2025）》，闡明未來三年全面提升證券公司網絡和信息安全的指導思想、基本原則、總體目標、主要任務及實施路徑。

本次計劃旨在鼓勵有條件的券商充分利用新技術積極推進新一代核心系統的建設，開展核心系統技術架構的轉型升級工作。計劃的總體目標是通過組織引導券商積極落實各項行動舉措，促進證券行業網絡和信息安全建設取得扎實成效。

其中最引人注目的是，本次計劃明確提出，券商信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業收入的7%。相較于征求意見稿中要求的三個年度信息科技平均投入金額則不少于上述三個年度平均凈利潤的8%或平均營業收入的6%，正式計劃有較大幅度提升。

來看本次安全計劃的要點：

要點一：明確信息系統建設應遵循穩健性、系統性、差異性、創新性等基本原則

要堅持以習近平新時代中國特色社會主義思想特別是習近平總書記關于網絡強國的重要思想為指導。遵循穩健性、系統性、差異性、創新性等基本原則。深入貫徹黨的二十大精神，全面落實網絡強國、數字中國戰略，力爭到2025年，證券行業網絡和信息安全建設取得扎實成效，為行業高質量發展提供有力支撐，全力支持資本市場改革發展，牢牢守住不發生系統性金融風險的底線。

要點二：提出六大主要任務

本次計劃明確了券商三年應完成的主要任務，包括以下六方面：

一是持續提升科技治理水平。主要包括全面完善信息科技戰略發展規劃，充分發揮科技治理組織作用，大力推動信息科技管理體系建設，健全信息科技風險管理三道防線，持續完善供應商管理機制等五方面具體要求。

二是建立科學合理的科技投入機制。主要包括合理加大科技資金投入，加強科技人才隊伍建設等兩方面具體要求。提出了信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業收入的7%，信息科技專業人員不低于企業員工總數的7%，其中信息安全專業人員比例不低于信息科技專業人員總數的3%并且不少于2人。

三是增強信息系統架構規劃掌控能力。主要包括建立及完善系統架構管理機制，建設及健全企業級應用架構，持續加強數據架構體系治理，多方位推進技術架構轉型升級，持續提高核心系統自主掌控能力等五方面具體要求。此部分是本次提升計劃的重點，鼓勵有條件的證券公司充分利用新技術積極推進新一代核心系統的建設，開展核心系統技術架構的轉型升級工作。

四是強化系統研發測試管理能力。主要包括建立及完善需求設計及分析機制，持續提升代碼開發效率及安全，制定并落實信息系統代碼審計規范，全面加強信息系統測試質量管控等四方面具體要求。

五是夯實系統運行保障能力。主要包括加強信息系統上下線管理，全面管控信息系統變更風險，持續提升信息系統故障發現能力，全面提高事件預警及處置效率，健全組織級應急響應管理機制，做好信息系統容量與性能管理，完善重要信息系統數據備份能力等七方面具體要求。

六是健全信息安全防護體系。主要包括落實等級保護定級和測評要求，深化漏洞全生命周期管控，提升安全攻擊防控能力，持續加強網絡安全態勢感知和通報預警，完善移動客戶端應用軟件認證機制，加強數據安全管理體系建設，持續加強安全意識培訓，做好安全全局性建設等八方面具體要求。

要點三：形成32項具體任務清單

本次計劃明確了券商32項具體任務清單，其中2023年底應完成的具體任務主要有以下方面：

證券公司在2023年底前應設立專業的信息系統架構管控角色、崗位、團隊或聯合組織，對公司的信息系統和架構資產進行規劃設計及統一管理。

證券公司在2023年底前制定及完善涵蓋自研系統和外購系統的代碼審計規范。自研系統實現自研代碼審計全覆蓋。

證券公司在2023年底前應建立與持續完善軟件質量管理制度以及測試指引。重要信息系統新上線或較大變更上線前，全面完成測試驗收。

證券公司在2023年底前建立健全自上而下、協同聯動、高效有力的應急管理和輿情管理機制，提高公司應急管理和輿情管理水平，實現信息運行的實時輿情監測，并根據應急組織架構，壓實各部門應急處置責任。

證券公司在2023年底前應建立完善的漏洞管理制度，明確分級分類標準、職責分工與處置要求，漏洞管理覆蓋研發過程管理、供應鏈管理和常態化風險巡檢等方面。

證券公司在2023年底前應建立個人信息保護制度體系，明確工作職責，規范工作流程，加強對本公司及外部合作機構管理。

近年來券商不斷加大信息技術投入但仍因系統故障出現過與投資者糾紛

近年來，證券行業不斷加大信息技術投入力度。根據中國證券業協會去年11月發布的《2022證券公司數字化轉型實踐報告及案例匯編》，證券行業機構積極推進數字化轉型，開展了大量卓有成效的工作，取得了豐碩的實踐成效。2021年證券公司IT人員總數為30952人，同比增長19.7%，信息技術投入總金額為338.20億元，同比增長28.7%。

此外，從券商披露的2022年信息技術投入金額來看，2022年證券行業繼續加大對信息技術投入。華泰證券2022年信息技術投入高達27.24億元，中金公司達到19.06億元，同比增長41.6%；國泰君安達17.99億元，同比增長17.2%。此外，海通證券、招商證券、中信建投、廣發證券、中國銀河、安信證券母公司國投資本等的投入金額均超10億元。

不過，即使加大了對信息技術的投入，部分券商仍因交易系統“宕機”引發市場與行業關注。

今年3月21日，東方財富證券交易軟件在一個交易日內出現“兩連崩”。證監會和西藏證監局隨后均對該事件表示關注。

3月31日晚，西藏證監局對東方財富采取責令改正措施。西藏證監局指出，經查，東方財富證券在2023年3月21日的網絡安全事件中，存在信息系統升級論證測試不充分、未及時報告網絡安全事件的問題。“依據相關規定，決定對東方財富證券采取責令改正的監督管理措施。同時，責令東方財富證券對此次事件相關責任人員進行內部責任追究，并妥善處置此次事件引發的投資者訴求。”

中證協前期發布的《2022年度證券公司投資者服務與保護報告》也指出，去年出現了多起因券商交易系統問題導致糾紛的案例。如有投資者反饋由于其受交易回報延遲影響，導致當日未能對其買入的可轉債進行賣出，后續再交易產生虧損，要求索賠1.4萬元，最終以7600余元和解。

封面圖片來源：視覺中國-VCG211101902712