21世紀經(jīng)濟報道記者崔文靜

　　中證協(xié)近日面向證券公司下發(fā)《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023-2025)》(以下簡稱《計劃》)，要求各證券公司于2026年2月15日前通過數(shù)據(jù)報送系統(tǒng)提交調(diào)研問卷。

　　本次調(diào)研聚焦剛性指標完成度，并通過量化數(shù)據(jù)和典型案例提煉可推廣經(jīng)驗。

　　問卷設(shè)置了六大評估領(lǐng)域，包括科技治理水平、科學合理的科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃掌控能力、系統(tǒng)研發(fā)測試管理能力、系統(tǒng)運行保障能力、信息安全防護體系。每一領(lǐng)域下設(shè)2—8個不等的重點任務(wù)，要求券商逐項自查。

　　例如，在判定“是否完成”評估項時，必須以全部達標為標準；對未完成事項需簡明分析原因并限100字內(nèi)說明影響；對已完成工作則要求以量化數(shù)據(jù)體現(xiàn)提升效果。

　　值得注意的是，問卷特別設(shè)置“關(guān)鍵成效案例”板塊，要求券商梳理1—2個實踐案例，集中展現(xiàn)安全能力提升的關(guān)鍵指標。

　　科技治理：強化頂層設(shè)計與戰(zhàn)略引領(lǐng)

　　評估工作的開端，直指證券公司科技治理的頂層設(shè)計與執(zhí)行效能。

　　問卷首先聚焦于科技戰(zhàn)略的規(guī)劃與動態(tài)演進，關(guān)注券商是否已將網(wǎng)絡(luò)和信息安全深度融入公司整體的信息科技戰(zhàn)略發(fā)展規(guī)劃，并形成了清晰的實施路徑。

　　健全的治理架構(gòu)是戰(zhàn)略落地的保障。評估內(nèi)容深入檢視券商是否建立了權(quán)責清晰的科技治理組織，例如科技治理委員會、首席信息官等機制是否切實運轉(zhuǎn)。問卷特別強調(diào)，此類治理組織需定期召開會議，不僅進行決策，更需將網(wǎng)絡(luò)安全的重點任務(wù)有效分解至執(zhí)行部門并設(shè)定明確的評價標準，確保治理決策能夠穿透層層壁壘，直達業(yè)務(wù)與技術(shù)末梢。

　　在管理體系建設(shè)方面，評估推動券商構(gòu)建覆蓋信息系統(tǒng)全生命周期的標準化管理框架，從開發(fā)、測試到運維與安全，均需建立規(guī)范化的流程與制度。

　　此外，中證協(xié)要求券商增強合規(guī)風控內(nèi)部審查，健全信息科技風險管理三道防線。全面識別風險、揭示問題，每年定期組織各防線的內(nèi)部審查，建立閉環(huán)管理機制，確保風險及問題妥當處置。資源與人才：保障可持續(xù)安全能力

　　建立科學合理的科技投入機制，是此次調(diào)研的第二大重點。

　　其重要內(nèi)容之一是科技資金投入情況。券商需詳細說明，在2023至2025三年間，年均信息科技投入是否達到了不低于年均凈利潤10%或年均營業(yè)收入7%的行業(yè)參考水平。這一指標的核心目的，在于引導券商在整體加大科技賦能力度的同時，必須為網(wǎng)絡(luò)與信息安全領(lǐng)域規(guī)劃并保障獨立、充足的專項經(jīng)費，使安全建設(shè)擺脫“成本中心”的陳束縛，獲得穩(wěn)定的資源支撐。

　　如果說資金是“硬投入”，那么人才就是“軟實力”。此次調(diào)研雖然未在提供的素材中展開具體評估項，但結(jié)合“三年提升計劃”的總體要求與行業(yè)發(fā)展邏輯，重點考察券商在網(wǎng)絡(luò)安全專業(yè)人才的“選、育、用、留”全鏈條機制建設(shè)。

　　這包括是否建立了吸引頂尖安全人才的薪酬與職級體系，是否為技術(shù)人員提供了持續(xù)的專業(yè)技能培訓與實戰(zhàn)攻防演練機會，以及是否將安全意識與基本技能培訓覆蓋至全體員工，特別是研發(fā)、運維等關(guān)鍵崗位。系統(tǒng)架構(gòu)：深化自主掌控與彈性轉(zhuǎn)型

　　在數(shù)字化時代，對信息系統(tǒng)架構(gòu)的掌控力至關(guān)重要。評估問卷的第三大板塊，深入探查了券商在這一核心領(lǐng)域的轉(zhuǎn)型深度。

　　首要關(guān)注點是架構(gòu)管理的專業(yè)化水平，即券商是否設(shè)立了專門的架構(gòu)師團隊或崗位，對全公司的技術(shù)架構(gòu)進行統(tǒng)一規(guī)劃、設(shè)計與管控，從而改變以往可能存在的“煙囪式”系統(tǒng)建設(shè)模式，提升整體架構(gòu)的合理性與一致性。

　　在此基礎(chǔ)之上，評估進一步追問企業(yè)級架構(gòu)能力的實質(zhì)性進展。例如，是否通過加強業(yè)務(wù)一體化服務(wù)平臺建設(shè)，實現(xiàn)了業(yè)務(wù)能力的組件化、平臺化，以支撐快速的業(yè)務(wù)創(chuàng)新與迭代。

　　同時，對數(shù)據(jù)架構(gòu)治理的評估，則關(guān)注是否制定了企業(yè)級的數(shù)據(jù)戰(zhàn)略，確保數(shù)據(jù)這一核心資產(chǎn)得到有效管理和價值釋放。

　　最引人矚目的評估方向，集中在技術(shù)架構(gòu)的前沿轉(zhuǎn)型。問卷明確詢問券商在核心系統(tǒng)技術(shù)架構(gòu)升級方面的進展，特別是從傳統(tǒng)集中式架構(gòu)向分布式、低時延、開放架構(gòu)的遷移情況。對于云平臺的應(yīng)用，不僅關(guān)注是否采用云原生等先進技術(shù)進行升級，也關(guān)注信息系統(tǒng)在私有云、行業(yè)云的具體部署比例及相應(yīng)的風險控制措施。

　　這些努力的最終指向，是“自主掌控能力”的提升。評估要求券商說明，是否在與重要供應(yīng)商保持開放合作的同時，深入掌握了核心系統(tǒng)的技術(shù)演進路徑與關(guān)鍵設(shè)計，從而大幅降低對單一外部技術(shù)的“黑盒”依賴。研發(fā)測試：推動安全左移與質(zhì)量內(nèi)建

　　安全的防線越早構(gòu)筑，成本越低，效果越好。調(diào)研的第四部分，聚焦于軟件生命周期的源頭——研發(fā)與測試環(huán)節(jié)，旨在推動安全與質(zhì)量要求深度“左移”。

　　評估從需求分析的起點介入，要求券商建立規(guī)范的需求設(shè)計機制，并特別強調(diào)必須制定信息系統(tǒng)的非功能性需求規(guī)范，在需求階段就對安全性、性能、可用性等指標進行充分論證和評審，使之成為項目立項的“硬約束”。

　　進入開發(fā)階段，評估關(guān)注券商是否通過建設(shè)一體化的開發(fā)工具鏈與制定嚴格的代碼規(guī)范，來同步提升開發(fā)效率與代碼安全質(zhì)量。

　　其中，代碼審計是重中之重的一環(huán)。問卷設(shè)置了明確而具體的要求：券商必須制定覆蓋自研和外購系統(tǒng)的代碼審計規(guī)范，并對所有自研代碼實現(xiàn)100%的審計覆蓋。對于外購系統(tǒng)，則需厘清供應(yīng)商是否提供源代碼或權(quán)威的代碼審計報告，從而將安全責任穿透至供應(yīng)鏈上游。

　　測試是交付前的最后一道質(zhì)量閘門。評估不僅關(guān)注券商是否配備了與開發(fā)規(guī)模相匹配的專職測試團隊(并要求提供具體的開發(fā)測試人員比例數(shù)據(jù))，更關(guān)注是否建立了完善的軟件質(zhì)量管理制度與測試標準流程。

　　最終，所有重要信息系統(tǒng)或重大功能變更，在上線前都必須完成全面、嚴格的測試驗收。運行保障：構(gòu)建智能運維與主動韌性

　　夯實系統(tǒng)運行保障能力是評估的第五部分，該部分全面審視了券商生產(chǎn)運維體系的韌性、智能與效率。

　　評估覆蓋了系統(tǒng)從“生”到“死”的全過程：對于重要系統(tǒng)上線，需進行涵蓋業(yè)務(wù)合規(guī)、權(quán)限、關(guān)聯(lián)影響及運維預案的全面評估；對于系統(tǒng)下線，則需完成技術(shù)影響評估并制定周密的數(shù)據(jù)遷移與保管方案。

　　在日常運維的核心——變更管理上，評估強調(diào)風險管控的精細化與自動化。券商需說明是否利用技術(shù)工具識別變更關(guān)聯(lián)影響，普遍采用灰度發(fā)布等策略控制風險，并通過平臺將變更流程標準化。問卷直接詢問重要信息系統(tǒng)的自動化發(fā)布比率，這是衡量運維現(xiàn)代化水平的重要指標之一。

　　面對不可避免的故障，評估要求運維體系具備快速感知、精準定位和高效恢復的能力。這包括建立覆蓋業(yè)務(wù)鏈路的立體化監(jiān)控體系，并積極引入人工智能運維技術(shù)，實現(xiàn)故障的智能預警與根因分析。

　　同時，必須建立組織級、平臺化的應(yīng)急指揮與協(xié)作系統(tǒng)，實現(xiàn)應(yīng)急預案的線上化、可視化演練與執(zhí)行，確保在重大突發(fā)事件中能快速協(xié)同、有效處置。

　　此外，前瞻性的容量規(guī)劃與數(shù)據(jù)備份也是評估重點。券商需說明是否建立了基于數(shù)據(jù)分析的容量預測模型，以及是否通過平臺化工具實現(xiàn)數(shù)據(jù)備份、恢復、驗證的全流程自動化與可視化管理。安全防護：構(gòu)建縱深防御與實戰(zhàn)能力

　　作為網(wǎng)絡(luò)安全的最后一道，信息安全防護體系是此次評估內(nèi)容最豐富、要求最細致的部分。

　　評估首先關(guān)注合規(guī)基線的扎實程度，即是否全面落實了網(wǎng)絡(luò)安全等級保護制度，完成了定級、備案與測評工作。

　　在此之上，評估的核心指向了動態(tài)、主動的防御能力建設(shè)。漏洞的全生命周期管理被置于突出位置。問卷詳細考察券商是否建立了閉環(huán)的漏洞管理機制，并要求該機制必須深度融入研發(fā)流程、供應(yīng)鏈管理以及常態(tài)化的滲透測試、攻防演練等主動發(fā)現(xiàn)手段。這要求漏洞管理不能僅是安全團隊的內(nèi)部事務(wù)，而必須成為貫穿業(yè)務(wù)、研發(fā)、運維的協(xié)同流程。

　　在主動防御層面，評估關(guān)注券商是否構(gòu)建了具備協(xié)同聯(lián)動、自動化響應(yīng)能力的實戰(zhàn)化安全防御體系，并定期通過“紅藍對抗”、實戰(zhàn)攻防演習來檢驗和提升該體系的真實有效性。

　　同時，態(tài)勢感知和通報預警能力建設(shè)被單獨強調(diào)，不僅要求券商自建平臺，更要求完成與行業(yè)態(tài)勢感知平臺的數(shù)據(jù)對接，實現(xiàn)全局性的威脅情報共享與聯(lián)防聯(lián)控。

　　隨著數(shù)據(jù)成為核心資產(chǎn)，評估對數(shù)據(jù)安全與個人信息保護提出了體系化要求。券商需說明是否建立了涵蓋數(shù)據(jù)分類分級、全生命周期防護的管理制度，并對重要數(shù)據(jù)、個人信息處理活動、數(shù)據(jù)出境場景等開展定期的風險評估。

　　此外，對移動客戶端App的安全認證情況、全員安全意識與技能的常態(tài)化培訓，以及在新系統(tǒng)建設(shè)中落實安全“三同步”(同步規(guī)劃、建設(shè)、運營)原則的情況，也都納入了評估范圍。

　　這部分評估勾勒出一幅從技術(shù)到管理、從合規(guī)到實戰(zhàn)、從外部防御到數(shù)據(jù)與人員安全的立體化防護藍圖，檢驗券商是否已為應(yīng)對日益復雜的網(wǎng)絡(luò)威脅做足準備。