近日，中證協正在向券商調研信息技術的相關情況。據悉，前幾年，中證協部署過券商信息技術的三年規劃，如今這一規劃已經到期，中證協正在調研券商的落實情況。

據悉，本次調研涉及了70多項具體任務的落實，包括券商年度信息科技投入平均金額是否不少于年度平均凈利潤的10%或平均營業收入的7%？券商面向客戶應用的主用App通過證券行業安全認證的數量是多少？

三年前提出規劃

2023年6月，中證協發布了《證券公司網絡和信息安全三年提升計劃（2023—2025）》（下稱《安全提升計劃》），目的在于推動證券公司加強網絡與信息系統安全穩定運行保障體系和能力建設，提高資本市場網絡和信息安全水平，防范化解網絡與信息系統安全風險。

《安全提升計劃》起草說明中提到，2022年上半年，證券行業網絡安全事件發生較為頻繁，對資本市場的安全平穩運行造成較大沖擊。行業整體信息技術投入不足、信息系統架構落后、信息技術管理能力欠缺，已經成為長期制約行業信息系統安全的主要問題。

針對上述情況，《安全提升計劃》聚焦證券公司網絡和信息安全能力領域普遍存在的基礎性和深層次問題，從科技治理能力、科技投入機制、信息系統架構規劃設計、研發測試效能與質量、系統運行保障能力和網絡信息安全防護體系等六個方面明確提出提升方向和要求。

《安全提升計劃》明確了六大類31項主要任務。其中，持續提升科技治理水平的任務共5項，建立科學合理的科技投入機制的任務共2項，增強信息系統架構規劃掌控能力的任務共5項，強化系統研發測試管理能力的任務共4項，夯實系統運行保障能力的任務共7項，健全信息安全防護體系的任務共8項。

檢驗實際落實成效

近日，中證協向券商發送了《關于開展證券公司網絡和信息安全三年提升計劃(2023—2025)總結評估調研的函》。中證協表示，為持續提升行業網絡和信息安全保障能力，進一步掌握各證券公司《安全提升計劃》實施情況，根據監管部門做好總結評估工作的要求，中證協擬開展“證券公司網絡和信息安全三年提升計劃(2023—2025)總結評估調研”工作，各家券商需要根據實際情況認真填寫相關問題。

記者注意到，這次調研從科技治理、科技投入、系統架構、安全防護、應急響應、合規監管等多個維度，全面審視了券商信息安全建設的成效與不足。整體采用分類考核模式，將71項任務劃分為“工作任務”與“鼓勵性任務”兩類。其中55項為強制性工作任務，占比超七成，是券商必須完成的基礎要求；16項為鼓勵性任務，引導有條件的券商進一步提升安全水平。

科技投入不少于凈利潤的10%

在建立科學合理的科技投入機制大項下，有兩個細分項。一個是合理加大科技資金投入。鼓勵進一步合理加大科技資金投入，有條件的公司在2023—2025年三個年度信息科技投入平均金額不少于上述三個年度平均凈利潤的10%或平均營業收入的7%，并保障充足的網絡和信息安全經費投入。

就此，中證協調研的問題是：貴司2023—2025年三個年度的信息科技投入的平均金額是否不少于上述三個年度平均凈利潤的10%？以及貴司2023—2025年三個年度的信息科技投入的平均金額是否不少于上述三個年度平均營業收入的7%？

據券商中國記者了解，中信證券、國泰君安等頭部機構2023—2024年信息科技投入占營收比例均穩定在8%以上，遠超“平均營收7%”的要求；部分券商甚至將安全投入單獨列支，占科技總投入的比例達25%，重點投向零信任架構、AI安全檢測等前沿領域。

另一個細分項是加強科技人才隊伍建設。證券公司制定人才培養計劃，鼓勵進一步合理增加科技人員投入，持續充實信息科技專業人才隊伍，鼓勵有條件的證券公司結合自身實際情況逐步提升信息科技專業人員比例至企業員工總數的7%，其中信息安全專業人員比例至信息科技專業人員總數的3%并且不少于2人。中證協調研券商是否達到上述要求。

完善APP認證機制

中證協調研的問題是：貴司面向客戶應用的主用App有幾個？通過了證券行業安全認證的數量是多少？

在健全信息安全防護體系的大項下，有一個細分項是完善移動客戶端應用軟件認證機制。證券公司充分了解移動客戶端應用軟件（以下簡稱“App”）安全檢測認證的重要性，參照行業App安全標準要求開發運營App，鼓勵委托具有資質的第三方專業機構開展App安全認證，及時發現App中存在的安全隱患，保障證券公司自行運營的App在程序開發、個人信息處理、數據安全、密碼應用、安全管理等方面符合國家及行業信息安全標準，切實保護投資者個人信息安全。

排版：汪云鵬

校對：彭其華