重视网络安全，中证协向券商提要求：未来三年IT投入不低于平均净利润10%或平均营业收入7%

每经记者 王砚丹    每经编辑 赵云    

近日，中国证券业协会印发《证券公司网络和信息安全三年提升计划（2023-2025）》，阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。

本次计划旨在鼓励有条件的券商充分利用新技术积极推进新一代核心系统的建设，开展核心系统技术架构的转型升级工作。计划的总体目标是通过组织引导券商积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效。

其中最引人注目的是，本次计划明确提出，券商信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%。相较于征求意见稿中要求的三个年度信息科技平均投入金额则不少于上述三个年度平均净利润的8%或平均营业收入的6%，正式计划有较大幅度提升。

来看本次安全计划的要点：

要点一：明确信息系统建设应遵循稳健性、系统性、差异性、创新性等基本原则

要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导。遵循稳健性、系统性、差异性、创新性等基本原则。深入贯彻党的二十大精神，全面落实网络强国、数字中国战略，力争到2025年，证券行业网络和信息安全建设取得扎实成效，为行业高质量发展提供有力支撑，全力支持资本市场改革发展，牢牢守住不发生系统性金融风险的底线。

要点二：提出六大主要任务

本次计划明确了券商三年应完成的主要任务，包括以下六方面：

一是持续提升科技治理水平。主要包括全面完善信息科技战略发展规划，充分发挥科技治理组织作用，大力推动信息科技管理体系建设，健全信息科技风险管理三道防线，持续完善供应商管理机制等五方面具体要求。

二是建立科学合理的科技投入机制。主要包括合理加大科技资金投入，加强科技人才队伍建设等两方面具体要求。提出了信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%，信息科技专业人员不低于企业员工总数的7%，其中信息安全专业人员比例不低于信息科技专业人员总数的3%并且不少于2人。

三是增强信息系统架构规划掌控能力。主要包括建立及完善系统架构管理机制，建设及健全企业级应用架构，持续加强数据架构体系治理，多方位推进技术架构转型升级，持续提高核心系统自主掌控能力等五方面具体要求。此部分是本次提升计划的重点，鼓励有条件的证券公司充分利用新技术积极推进新一代核心系统的建设，开展核心系统技术架构的转型升级工作。

四是强化系统研发测试管理能力。主要包括建立及完善需求设计及分析机制，持续提升代码开发效率及安全，制定并落实信息系统代码审计规范，全面加强信息系统测试质量管控等四方面具体要求。

五是夯实系统运行保障能力。主要包括加强信息系统上下线管理，全面管控信息系统变更风险，持续提升信息系统故障发现能力，全面提高事件预警及处置效率，健全组织级应急响应管理机制，做好信息系统容量与性能管理，完善重要信息系统数据备份能力等七方面具体要求。

六是健全信息安全防护体系。主要包括落实等级保护定级和测评要求，深化漏洞全生命周期管控，提升安全攻击防控能力，持续加强网络安全态势感知和通报预警，完善移动客户端应用软件认证机制，加强数据安全管理体系建设，持续加强安全意识培训，做好安全全局性建设等八方面具体要求。

要点三：形成32项具体任务清单

本次计划明确了券商32项具体任务清单，其中2023年底应完成的具体任务主要有以下方面：

证券公司在2023年底前应设立专业的信息系统架构管控角色、岗位、团队或联合组织，对公司的信息系统和架构资产进行规划设计及统一管理。

证券公司在2023年底前制定及完善涵盖自研系统和外购系统的代码审计规范。自研系统实现自研代码审计全覆盖。

证券公司在2023年底前应建立与持续完善软件质量管理制度以及测试指引。重要信息系统新上线或较大变更上线前，全面完成测试验收。

证券公司在2023年底前建立健全自上而下、协同联动、高效有力的应急管理和舆情管理机制，提高公司应急管理和舆情管理水平，实现信息运行的实时舆情监测，并根据应急组织架构，压实各部门应急处置责任。

证券公司在2023年底前应建立完善的漏洞管理制度，明确分级分类标准、职责分工与处置要求，漏洞管理覆盖研发过程管理、供应链管理和常态化风险巡检等方面。

证券公司在2023年底前应建立个人信息保护制度体系，明确工作职责，规范工作流程，加强对本公司及外部合作机构管理。

近年来券商不断加大信息技术投入但仍因系统故障出现过与投资者纠纷

近年来，证券行业不断加大信息技术投入力度。根据中国证券业协会去年11月发布的《2022证券公司数字化转型实践报告及案例汇编》，证券行业机构积极推进数字化转型，开展了大量卓有成效的工作，取得了丰硕的实践成效。2021年证券公司IT人员总数为30952人，同比增长19.7%，信息技术投入总金额为338.20亿元，同比增长28.7%。

此外，从券商披露的2022年信息技术投入金额来看，2022年证券行业继续加大对信息技术投入。华泰证券2022年信息技术投入高达27.24亿元，中金公司达到19.06亿元，同比增长41.6%；国泰君安达17.99亿元，同比增长17.2%。此外，海通证券、招商证券、中信建投、广发证券、中国银河、安信证券母公司国投资本等的投入金额均超10亿元。

不过，即使加大了对信息技术的投入，部分券商仍因交易系统“宕机”引发市场与行业关注。

今年3月21日，东方财富证券交易软件在一个交易日内出现“两连崩”。证监会和西藏证监局随后均对该事件表示关注。

3月31日晚，西藏证监局对东方财富采取责令改正措施。西藏证监局指出，经查，东方财富证券在2023年3月21日的网络安全事件中，存在信息系统升级论证测试不充分、未及时报告网络安全事件的问题。“依据相关规定，决定对东方财富证券采取责令改正的监督管理措施。同时，责令东方财富证券对此次事件相关责任人员进行内部责任追究，并妥善处置此次事件引发的投资者诉求。”

中证协前期发布的《2022年度证券公司投资者服务与保护报告》也指出，去年出现了多起因券商交易系统问题导致纠纷的案例。如有投资者反馈由于其受交易回报延迟影响，导致当日未能对其买入的可转债进行卖出，后续再交易产生亏损，要求索赔1.4万元，最终以7600余元和解。

封面图片来源：视觉中国-VCG211101902712