随着金融科技的深度融合和市场竞争的日趋激烈,证券行业面临的网络和信息安全风险日益复杂;为系统推进行业科技安全能力建设,监管部门于2023年启动了为期三年提升计划。如今——该计划实施收官——行业迎来了一次基于71项具体指标的全面"体检"。 此次评估工作由中国证券业协会组织实施,通过向各家券商下发总结评估问卷的方式展开。评估框架涵盖了证券公司信息系统的全生命周期关键环节,从顶层设计的科技治理架构,到具体的研发测试流程管理,再到底层的运行保障与安全防护,形成了纵向贯通、横向协同的立体化评估体系。 科技治理层面,监管部门对券商的战略定位提出了明确要求。完善科技战略发展规划、健全科技治理架构等9项任务全部被列为硬性工作任务,这意味着券商必须将科技安全建设上升至公司战略高度,实现科技与业务的深度融合。这一要求反映出监管部门的核心认识:科技治理不再是技术部门的专属职责,而是关乎企业长期竞争力的战略问题。 科技投入是安全建设的基础保障。评估问卷设置了具有引导性的量化指标,明确要求券商三年平均信息科技投入不少于同期平均净利润的10%或平均营业收入的7%,同时要求提升信息科技专业人员比例至企业员工总数的7%,信息安全专业人员比例提升至信息科技专业人员总数的3%且不少于2人。这些具体的投入指标表明了监管部门对行业科技人才队伍建设的重视,也为券商的资源配置提供了明确的参考标准。 系统架构掌控与研发管理是安全防护的核心抓手。在增强信息系统架构规划掌控能力上,建立及完善系统架构管理机制、推进技术架构转型、提高核心系统自主掌控能力等8项任务获得重点关注。另外,研发测试环节的安全权重被大幅提升,建立需求设计分析机制、制定代码审计规范、加强测试质量管控等9项任务全部被列为硬性工作任务。这一调整反映出监管部门对源头防控的重视,通过研发阶段加强质量管控,可以有效降低系统上线后的安全风险。 在运行保障上,评估涵盖了从系统上下线管理、变更风险管控到故障发现、应急响应、容量性能管理等19项任务。特别值得关注的是,"健全组织级应急响应管理机制"和"完善重要信息系统数据备份能力"这两项任务被带来了较高的考核权重。这一设置源于近年来行业内多次发生的系统宕机事件,监管部门通过强化这两项任务的要求,推动券商建立更加完善的应急体系和容灾机制。 在健全信息安全防护体系上,评估设置了21项具体任务,涵盖落实等级保护测评、深化漏洞管控、提升攻击防控能力、加强数据安全管理等核心内容。其中,"持续加强网络安全态势感知和通报预警"以及"加强数据安全管理体系建设"这两项任务被重点提及,显示出监管部门对数据要素安全和主动防御能力的注重。这一转变标志着行业安全防护理念从被动应对向主动防御升级。 业内人士指出,券商信息技术的持续投入对改善客户体验、推动业务发展、提升经营效率、降低风险成本的支撑作用日益显现。尤其在人工智能等新技术快速发展的背景下,券商加大信息技术投入、加强金融科技赋能已成为行业共识,有望引领新一轮科技投入浪潮。
网络与信息安全不是阶段性工程,而是与业务发展同频共振的长期课题。三年提升计划收官评估的意义——不止于打分排名——更在于以统一标准推动治理能力现代化、以可量化指标促进持续改进。唯有把安全能力建设融入战略、嵌入流程、落到日常,证券行业方能在技术快速演进与风险形态变化中稳住底盘、守住底线,更好服务资本市场高质量发展。