本報(bào)記者 周尚伃

    當(dāng)前，證券行業(yè)數(shù)字化轉(zhuǎn)型正加速推進(jìn)，并不斷推動(dòng)業(yè)務(wù)與技術(shù)的融合。不過，隨著網(wǎng)絡(luò)和信息安全管理日趨復(fù)雜，信息安全事件的頻發(fā)，使得行業(yè)網(wǎng)絡(luò)和信息安全管理能力面臨更大挑戰(zhàn)。

    對(duì)此，為加強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行保障體系和能力建設(shè)，提高資本市場(chǎng)網(wǎng)絡(luò)和信息安全水平，推動(dòng)數(shù)字賦能行業(yè)高質(zhì)量發(fā)展等，中國(guó)證券業(yè)協(xié)會(huì)近日起草并向券商下發(fā)了《證券公司網(wǎng)絡(luò)和信息安全三年提升計(jì)劃（2023-2025）》（征求意見稿）（以下簡(jiǎn)稱《安全提升計(jì)劃》），并以附件的形式將重點(diǎn)事項(xiàng)進(jìn)行任務(wù)分解，合計(jì)33項(xiàng)重點(diǎn)工作。

    對(duì)券商六大方面明確提出

    提升方向和要求

    《安全提升計(jì)劃》主要任務(wù)聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題，從科技治理能力、科技投入機(jī)制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計(jì)、研發(fā)測(cè)試效能與質(zhì)量、系統(tǒng)運(yùn)行保障能力和網(wǎng)絡(luò)信息安全防護(hù)體系等六個(gè)方面明確提出提升方向和要求。

    科技治理能力方面，券商需要在2023年年底前據(jù)公司的整體戰(zhàn)略規(guī)劃，制定全方位的網(wǎng)絡(luò)和信息科技戰(zhàn)略發(fā)展規(guī)劃，并完善信息系統(tǒng)的開發(fā)、測(cè)試、運(yùn)維及信息安全等技術(shù)管理領(lǐng)域的管理體系。

    科技投入機(jī)制方面，主要包括加大科技資金投入，加強(qiáng)科技人才隊(duì)伍建設(shè)等兩方面。近年來(lái)，券商對(duì)信息科技重視程度不斷增強(qiáng)，行業(yè)信息技術(shù)投入逐年增長(zhǎng)，2017年至2021年期間行業(yè)持續(xù)加大信息技術(shù)領(lǐng)域的投入為行業(yè)數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)，在信息技術(shù)領(lǐng)域累計(jì)投入近1200億元。

    具體來(lái)看，《安全提升計(jì)劃》鼓勵(lì)有條件的公司2023年至2025年三個(gè)年度信息科技平均投入金額不少于上述三個(gè)年度平均凈利潤(rùn)的8%或平均營(yíng)業(yè)收入的6%。以最新披露數(shù)據(jù)為例，2021年證券行業(yè)信息技術(shù)投入金額為338.2億元，同比增長(zhǎng)28.7%，占上一年度營(yíng)業(yè)收入的7.7%；其中有10家券商的投入均超10億元，信息技術(shù)投入占營(yíng)業(yè)收入比例超6%的券商有20家，而不少中小券商也將金融科技視為核心競(jìng)爭(zhēng)力之一，華林證券、華鑫證券的投入占比均已超20%；不過中信證券、中信建投等部分頭部券商的投入占比均在6%以下。

    申萬(wàn)宏源預(yù)計(jì)，“未來(lái)假設(shè)全部券商達(dá)到6%收入要求標(biāo)準(zhǔn)，則按照過去三年平均收入計(jì)算，增量信息技術(shù)投資金額約22億元。”

    與此同時(shí)，人才更是證券行業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵所在。《安全提升計(jì)劃》要求券商信息科技專業(yè)人員不低于公司員工總數(shù)的6%，網(wǎng)絡(luò)和信息安全專業(yè)人員不低于信息科技專業(yè)人員的3%且不應(yīng)少于4人。并且各券商要優(yōu)化技術(shù)從業(yè)人員結(jié)構(gòu)，聚焦專業(yè)素質(zhì)能力提升，做好金融科技專業(yè)領(lǐng)域核心人才挖掘、培養(yǎng)，完善從業(yè)人員梯隊(duì)結(jié)構(gòu)，做好青年技術(shù)員工等儲(chǔ)備。同時(shí)，健全從業(yè)人員培養(yǎng)體系、完善市場(chǎng)化激勵(lì)約束機(jī)制。

    信息安全是重中之重

    信息技術(shù)能力建設(shè)尤為重要

    當(dāng)前，券商對(duì)數(shù)字化轉(zhuǎn)型的重要性及緊迫性已達(dá)成共識(shí)。根據(jù)中證協(xié)調(diào)查反饋顯示，共77家證券公司將數(shù)字化轉(zhuǎn)型列為公司發(fā)展戰(zhàn)略，數(shù)字化轉(zhuǎn)型的“主戰(zhàn)場(chǎng)”逐步由零售經(jīng)紀(jì)業(yè)務(wù)擴(kuò)展到機(jī)構(gòu)業(yè)務(wù)、資產(chǎn)管理、投資銀行、自營(yíng)投資、中后臺(tái)等多個(gè)領(lǐng)域，數(shù)字化轉(zhuǎn)型覆蓋多業(yè)務(wù)領(lǐng)域的證券公司有69家，占比高達(dá)89.61%。證券行業(yè)數(shù)字化轉(zhuǎn)型已進(jìn)入全面加速階段，廣度和深度不斷加大。

    中信建投非銀金融團(tuán)隊(duì)認(rèn)為，“金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型已不局限于‘信息化+互聯(lián)網(wǎng)’賦能升級(jí)，而是建立‘全面化+跨行業(yè)’融合機(jī)制，作為配置市場(chǎng)資源、提供風(fēng)險(xiǎn)定價(jià)的重要角色，券商的信息技術(shù)能力在此數(shù)字化浪潮中顯得尤為重要。”

    不過，券商在轉(zhuǎn)型過程中也逐漸暴露出一系列階段性問題，信息安全事件更是時(shí)有發(fā)生，對(duì)資本市場(chǎng)的安全平穩(wěn)運(yùn)行造成較大沖擊。數(shù)據(jù)顯示，在2017至2021年信息技術(shù)風(fēng)險(xiǎn)相關(guān)的監(jiān)管處罰中，有26.09%的證券公司是因?yàn)樾畔⒓夹g(shù)系統(tǒng)建設(shè)不完善，部分業(yè)務(wù)環(huán)節(jié)、風(fēng)控環(huán)節(jié)未納入系統(tǒng)監(jiān)管流程，從而受到監(jiān)管處罰；其余73.91%的證券公司主要是因?yàn)樾畔⒓夹g(shù)應(yīng)用過程中相應(yīng)的管理機(jī)制不健全、管理流程缺失等內(nèi)部合規(guī)管理不足造成。

    2022年，某大型券商因系統(tǒng)交易問題登上微博熱搜，此后，監(jiān)管火速對(duì)該券商采取責(zé)令改正的整改措施，并指出該券商在網(wǎng)絡(luò)安全事件中，存在變更管理不完善，應(yīng)急處置不及時(shí)、不到位等問題。而在2021年，另有某券商更是發(fā)生集中交易系統(tǒng)部分中斷，影響交易時(shí)間合計(jì)約20分鐘，達(dá)到較大信息安全事件標(biāo)準(zhǔn)。

    至此，《安全提升計(jì)劃》要求券商在2023年底前建立全面覆蓋業(yè)務(wù)、應(yīng)用、底層基礎(chǔ)架構(gòu)和基礎(chǔ)設(shè)施的信息系統(tǒng)運(yùn)行監(jiān)測(cè)體系，并持續(xù)完善，不斷提升運(yùn)行監(jiān)控的覆蓋度，應(yīng)建設(shè)統(tǒng)一的告警平臺(tái)；并建立與持續(xù)完善軟件質(zhì)量管理制度以及測(cè)試指引、制定信息系統(tǒng)備份管理策略、建立完善的漏洞管理制度、建立個(gè)人信息保護(hù)制度體系等。