本報記者 周尚伃

    隨著《證券公司網絡和信息安全三年提升計劃（2023-2025）》（以下簡稱《安全提升計劃》）實施收官，針對證券行業(yè)網絡和信息安全的“全面體檢”正式啟動。

    2月4日，《證券日報》記者從多家券商處獲悉，根據監(jiān)管部門關于做好總結評估工作的要求，中國證券業(yè)協(xié)會已向各家券商下發(fā)總結評估問卷，擬開展“證券公司網絡和信息安全三年提升計劃（2023-2025）總結評估調研”工作（以下簡稱“調研”）。這意味著，過去三年行業(yè)在科技安全領域的投入與建設成果，將迎來一次基于71項具體指標的“大考”。

    細化為71項具體任務

    據了解，此次調研聚焦《安全提升計劃》的六大核心領域，包括持續(xù)提升科技治理水平、建立科學合理的科技投入機制、增強信息系統(tǒng)架構規(guī)劃掌控能力、強化系統(tǒng)研發(fā)測試管理能力、夯實系統(tǒng)運行保障能力、健全信息安全防護體系，并將其細化為71項具體任務。

    值得關注的是，這71項任務被明確劃分為“工作任務”與“鼓勵性任務”兩大類。其中，有55項為“硬性”工作任務，16項為鼓勵性任務?？傮w來看，從頂層設計的科技治理架構，到具體的研發(fā)測試流程管理，再到底層的運行保障與安全防護，問卷覆蓋了券商信息系統(tǒng)全生命周期的關鍵節(jié)點。

    在科技治理層面，問卷對券商頂層設計提出了明確要求，包括完善科技戰(zhàn)略發(fā)展規(guī)劃、健全科技治理架構等9項任務全部列為“硬性”工作任務。這意味著券商的科技治理需上升至公司戰(zhàn)略高度，實現科技與業(yè)務的深度融合與協(xié)同發(fā)展。

    科技投入作為安全建設的“源頭活水”，也是此次調研的重點關注領域，問卷設置了清晰且具有引導性的量化指標。除了“是否制定了人才培養(yǎng)計劃”這1項“硬性”工作任務外，還設置了4項鼓勵性任務，例如“2023年至2025年三個年度信息科技投入平均金額不少于上述三個年度平均凈利潤的10%或平均營業(yè)收入的7%”“提升信息科技專業(yè)人員比例至企業(yè)員工總數的7%，信息安全專業(yè)人員比例提升至信息科技專業(yè)人員總數的3%并且不少于2人”是其中兩大任務。

    國泰海通證券計算機行業(yè)首席分析師楊林表示：“券商信息技術的持續(xù)投入對改善客戶體驗、推動業(yè)務發(fā)展、提升經營效率、降低風險成本的支撐和引領作用日益顯現，券商加大信息技術投入、加強金融科技賦能已成為行業(yè)共識。尤其2025年以來，人工智能正在引發(fā)證券行業(yè)底層技術架構的革新，有望引領券商新一輪科技投入浪潮。”

    40項任務涉及兩大方向

    如果說科技投入是安全建設的基礎，那么架構掌控與研發(fā)管理則是安全的核心抓手。在增強信息系統(tǒng)架構規(guī)劃掌控能力一項中，建立及完善系統(tǒng)架構管理機制、推進技術架構轉型、提高核心系統(tǒng)自主掌控能力等8項任務（含4項工作任務、4項鼓勵性任務）獲重點關注。同時，研發(fā)測試環(huán)節(jié)的安全權重被大幅提升，建立需求設計分析機制、制定代碼審計規(guī)范、加強測試質量管控等9項任務全部被列為“硬性”工作任務。

    記者注意到，在71項任務中，“夯實系統(tǒng)運行保障能力”與“健全信息安全防護體系”兩大方向合計涉及40項具體任務，成為此次評估的重點。

    在運行保障方面，問卷涵蓋了從系統(tǒng)上下線管理、變更風險管控到故障發(fā)現、應急響應、容量性能管理等19項任務。特別是“健全組織級應急響應管理機制”和“完善重要信息系統(tǒng)數據備份能力”這兩項任務，在近年來行業(yè)內多次發(fā)生系統(tǒng)宕機事件后，被賦予了較高的考核權重。

    在健全信息安全防護體系上，問卷設置了21項具體任務，其中12項為“硬性”工作任務、7項為鼓勵性任務，涵蓋落實等級保護測評、深化漏洞管控、提升攻擊防控能力、加強數據安全管理等核心內容。值得注意的是，“持續(xù)加強網絡安全態(tài)勢感知和通報預警”以及“加強數據安全管理體系建設”這兩項任務被重點提及，顯示出監(jiān)管部門對數據要素安全和主動防御能力的高度重視。