本報記者 周尚伃

    當前，證券行業(yè)數字化轉型正加速推進，并不斷推動業(yè)務與技術的融合。不過，隨著網絡和信息安全管理日趨復雜，信息安全事件的頻發(fā)，使得行業(yè)網絡和信息安全管理能力面臨更大挑戰(zhàn)。

    對此，為加強網絡與信息系統(tǒng)安全穩(wěn)定運行保障體系和能力建設，提高資本市場網絡和信息安全水平，推動數字賦能行業(yè)高質量發(fā)展等，中國證券業(yè)協(xié)會近日起草并向券商下發(fā)了《證券公司網絡和信息安全三年提升計劃（2023-2025）》（征求意見稿）（以下簡稱《安全提升計劃》），并以附件的形式將重點事項進行任務分解，合計33項重點工作。

    對券商六大方面明確提出

    提升方向和要求

    《安全提升計劃》主要任務聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題，從科技治理能力、科技投入機制、信息系統(tǒng)架構規(guī)劃設計、研發(fā)測試效能與質量、系統(tǒng)運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。

    科技治理能力方面，券商需要在2023年年底前據公司的整體戰(zhàn)略規(guī)劃，制定全方位的網絡和信息科技戰(zhàn)略發(fā)展規(guī)劃，并完善信息系統(tǒng)的開發(fā)、測試、運維及信息安全等技術管理領域的管理體系。

    科技投入機制方面，主要包括加大科技資金投入，加強科技人才隊伍建設等兩方面。近年來，券商對信息科技重視程度不斷增強，行業(yè)信息技術投入逐年增長，2017年至2021年期間行業(yè)持續(xù)加大信息技術領域的投入為行業(yè)數字化轉型和高質量發(fā)展奠定堅實基礎，在信息技術領域累計投入近1200億元。

    具體來看，《安全提升計劃》鼓勵有條件的公司2023年至2025年三個年度信息科技平均投入金額不少于上述三個年度平均凈利潤的8%或平均營業(yè)收入的6%。以最新披露數據為例，2021年證券行業(yè)信息技術投入金額為338.2億元，同比增長28.7%，占上一年度營業(yè)收入的7.7%；其中有10家券商的投入均超10億元，信息技術投入占營業(yè)收入比例超6%的券商有20家，而不少中小券商也將金融科技視為核心競爭力之一，華林證券、華鑫證券的投入占比均已超20%；不過中信證券、中信建投等部分頭部券商的投入占比均在6%以下。

    申萬宏源預計，“未來假設全部券商達到6%收入要求標準，則按照過去三年平均收入計算，增量信息技術投資金額約22億元。”

    與此同時，人才更是證券行業(yè)數字化轉型的關鍵所在。《安全提升計劃》要求券商信息科技專業(yè)人員不低于公司員工總數的6%，網絡和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應少于4人。并且各券商要優(yōu)化技術從業(yè)人員結構，聚焦專業(yè)素質能力提升，做好金融科技專業(yè)領域核心人才挖掘、培養(yǎng)，完善從業(yè)人員梯隊結構，做好青年技術員工等儲備。同時，健全從業(yè)人員培養(yǎng)體系、完善市場化激勵約束機制。

    信息安全是重中之重

    信息技術能力建設尤為重要

    當前，券商對數字化轉型的重要性及緊迫性已達成共識。根據中證協(xié)調查反饋顯示，共77家證券公司將數字化轉型列為公司發(fā)展戰(zhàn)略，數字化轉型的“主戰(zhàn)場”逐步由零售經紀業(yè)務擴展到機構業(yè)務、資產管理、投資銀行、自營投資、中后臺等多個領域，數字化轉型覆蓋多業(yè)務領域的證券公司有69家，占比高達89.61%。證券行業(yè)數字化轉型已進入全面加速階段，廣度和深度不斷加大。

    中信建投非銀金融團隊認為，“金融機構數字化轉型已不局限于‘信息化+互聯(lián)網’賦能升級，而是建立‘全面化+跨行業(yè)’融合機制，作為配置市場資源、提供風險定價的重要角色，券商的信息技術能力在此數字化浪潮中顯得尤為重要。”

    不過，券商在轉型過程中也逐漸暴露出一系列階段性問題，信息安全事件更是時有發(fā)生，對資本市場的安全平穩(wěn)運行造成較大沖擊。數據顯示，在2017至2021年信息技術風險相關的監(jiān)管處罰中，有26.09%的證券公司是因為信息技術系統(tǒng)建設不完善，部分業(yè)務環(huán)節(jié)、風控環(huán)節(jié)未納入系統(tǒng)監(jiān)管流程，從而受到監(jiān)管處罰；其余73.91%的證券公司主要是因為信息技術應用過程中相應的管理機制不健全、管理流程缺失等內部合規(guī)管理不足造成。

    2022年，某大型券商因系統(tǒng)交易問題登上微博熱搜，此后，監(jiān)管火速對該券商采取責令改正的整改措施，并指出該券商在網絡安全事件中，存在變更管理不完善，應急處置不及時、不到位等問題。而在2021年，另有某券商更是發(fā)生集中交易系統(tǒng)部分中斷，影響交易時間合計約20分鐘，達到較大信息安全事件標準。

    至此，《安全提升計劃》要求券商在2023年底前建立全面覆蓋業(yè)務、應用、底層基礎架構和基礎設施的信息系統(tǒng)運行監(jiān)測體系，并持續(xù)完善，不斷提升運行監(jiān)控的覆蓋度，應建設統(tǒng)一的告警平臺；并建立與持續(xù)完善軟件質量管理制度以及測試指引、制定信息系統(tǒng)備份管理策略、建立完善的漏洞管理制度、建立個人信息保護制度體系等。