近日，中證協(xié)正在向券商調(diào)研信息技術(shù)的相關(guān)情況。據(jù)悉，前幾年，中證協(xié)部署過券商信息技術(shù)的三年規(guī)劃，如今這一規(guī)劃已經(jīng)到期，中證協(xié)正在調(diào)研券商的落實情況。

　　據(jù)悉，本次調(diào)研涉及了70多項具體任務(wù)的落實，包括券商年度信息科技投入平均金額是否不少于年度平均凈利潤的10%或平均營業(yè)收入的7%？券商面向客戶應(yīng)用的主用App通過證券行業(yè)安全認(rèn)證的數(shù)量是多少？

　　三年前提出規(guī)劃

　　2023年6月，中證協(xié)發(fā)布了《證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023—2025)》(下稱《安全提升計劃》)，目的在于推動證券公司加強網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運行保障體系和能力建設(shè)，提高資本市場網(wǎng)絡(luò)和信息安全水平，防范化解網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險。

　　《安全提升計劃》起草說明中提到，2022年上半年，證券行業(yè)網(wǎng)絡(luò)安全事件發(fā)生較為頻繁，對資本市場的安全平穩(wěn)運行造成較大沖擊。行業(yè)整體信息技術(shù)投入不足、信息系統(tǒng)架構(gòu)落后、信息技術(shù)管理能力欠缺，已經(jīng)成為長期制約行業(yè)信息系統(tǒng)安全的主要問題。

　　針對上述情況，《安全提升計劃》聚焦證券公司網(wǎng)絡(luò)和信息安全能力領(lǐng)域普遍存在的基礎(chǔ)性和深層次問題，從科技治理能力、科技投入機制、信息系統(tǒng)架構(gòu)規(guī)劃設(shè)計、研發(fā)測試效能與質(zhì)量、系統(tǒng)運行保障能力和網(wǎng)絡(luò)信息安全防護體系等六個方面明確提出提升方向和要求。

　　《安全提升計劃》明確了六大類31項主要任務(wù)。其中，持續(xù)提升科技治理水平的任務(wù)共5項，建立科學(xué)合理的科技投入機制的任務(wù)共2項，增強信息系統(tǒng)架構(gòu)規(guī)劃掌控能力的任務(wù)共5項，強化系統(tǒng)研發(fā)測試管理能力的任務(wù)共4項，夯實系統(tǒng)運行保障能力的任務(wù)共7項，健全信息安全防護體系的任務(wù)共8項。

　　檢驗實際落實成效

　　近日，中證協(xié)向券商發(fā)送了《關(guān)于開展證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023—2025)總結(jié)評估調(diào)研的函》。中證協(xié)表示，為持續(xù)提升行業(yè)網(wǎng)絡(luò)和信息安全保障能力，進一步掌握各證券公司《安全提升計劃》實施情況，根據(jù)監(jiān)管部門做好總結(jié)評估工作的要求，中證協(xié)擬開展“證券公司網(wǎng)絡(luò)和信息安全三年提升計劃(2023—2025)總結(jié)評估調(diào)研”工作，各家券商需要根據(jù)實際情況認(rèn)真填寫相關(guān)問題。

　　記者注意到，這次調(diào)研從科技治理、科技投入、系統(tǒng)架構(gòu)、安全防護、應(yīng)急響應(yīng)、合規(guī)監(jiān)管等多個維度，全面審視了券商信息安全建設(shè)的成效與不足。整體采用分類考核模式，將71項任務(wù)劃分為“工作任務(wù)”與“鼓勵性任務(wù)”兩類。其中55項為強制性工作任務(wù)，占比超七成，是券商必須完成的基礎(chǔ)要求；16項為鼓勵性任務(wù)，引導(dǎo)有條件的券商進一步提升安全水平。

　　科技投入不少于凈利潤的10%

　　在建立科學(xué)合理的科技投入機制大項下，有兩個細(xì)分項。一個是合理加大科技資金投入。鼓勵進一步合理加大科技資金投入，有條件的公司在2023—2025年三個年度信息科技投入平均金額不少于上述三個年度平均凈利潤的10%或平均營業(yè)收入的7%，并保障充足的網(wǎng)絡(luò)和信息安全經(jīng)費投入。

　　就此，中證協(xié)調(diào)研的問題是：貴司2023—2025年三個年度的信息科技投入的平均金額是否不少于上述三個年度平均凈利潤的10%？以及貴司2023—2025年三個年度的信息科技投入的平均金額是否不少于上述三個年度平均營業(yè)收入的7%？

　　據(jù)券商中國記者了解，中信證券、國泰君安等頭部機構(gòu)2023—2024年信息科技投入占營收比例均穩(wěn)定在8%以上，遠(yuǎn)超“平均營收7%”的要求；部分券商甚至將安全投入單獨列支，占科技總投入的比例達(dá)25%，重點投向零信任架構(gòu)、AI安全檢測等前沿領(lǐng)域。

　　另一個細(xì)分項是加強科技人才隊伍建設(shè)。證券公司制定人才培養(yǎng)計劃，鼓勵進一步合理增加科技人員投入，持續(xù)充實信息科技專業(yè)人才隊伍，鼓勵有條件的證券公司結(jié)合自身實際情況逐步提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%，其中信息安全專業(yè)人員比例至信息科技專業(yè)人員總數(shù)的3%并且不少于2人。中證協(xié)調(diào)研券商是否達(dá)到上述要求。

　　完善APP認(rèn)證機制

　　中證協(xié)調(diào)研的問題是：貴司面向客戶應(yīng)用的主用App有幾個？通過了證券行業(yè)安全認(rèn)證的數(shù)量是多少？

　　在健全信息安全防護體系的大項下，有一個細(xì)分項是完善移動客戶端應(yīng)用軟件認(rèn)證機制。證券公司充分了解移動客戶端應(yīng)用軟件(以下簡稱“App”)安全檢測認(rèn)證的重要性，參照行業(yè)App安全標(biāo)準(zhǔn)要求開發(fā)運營App，鼓勵委托具有資質(zhì)的第三方專業(yè)機構(gòu)開展App安全認(rèn)證，及時發(fā)現(xiàn)App中存在的安全隱患，保障證券公司自行運營的App在程序開發(fā)、個人信息處理、數(shù)據(jù)安全、密碼應(yīng)用、安全管理等方面符合國家及行業(yè)信息安全標(biāo)準(zhǔn)，切實保護投資者個人信息安全。

　　百萬用戶都在看