6月9日晚間,中國證券業(yè)協(xié)會發(fā)布消息稱,正式印發(fā)《證券公司網絡和信息安全三年提升計劃(2023-2025)》(簡稱《安全提升計劃》),明確了六大類31項主要任務,其中,鼓勵信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業(yè)收入的7%;鼓勵有條件的券商結合自身實際情況逐步提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%等。
遵循四大基本原則
為推動證券公司加強網絡與信息系統(tǒng)安全穩(wěn)定運行保障體系和能力建設,提高資本市場網絡和信息安全水平,防范化解網絡與信息系統(tǒng)安全風險,《安全提升計劃》明確了應當遵循的基本原則:一是穩(wěn)健性原則,強化合規(guī)風控,嚴守風險底線;二是系統(tǒng)性原則,強化協(xié)同機制,整體規(guī)劃;三是差異性原則,強化專業(yè)引領,因司制宜;四是創(chuàng)新性原則,強化創(chuàng)新驅動,科技賦能。
中證協(xié)表示,未來三年全面提升證券公司網絡和信息安全的總體目標是通過組織引導證券公司積極落實各項行動舉措,促進證券行業(yè)網絡和信息安全建設取得扎實成效。
其中,包括行業(yè)從業(yè)人員網絡和信息安全意識明顯增強,科技治理能力有效提升,信息系統(tǒng)架構掌控能力全面加強,科技資金投入和人才培養(yǎng)力度持續(xù)加大,網絡和信息安全防護體系基本健全,行業(yè)科技創(chuàng)新和數(shù)字化轉型邁上新的臺階,為行業(yè)高質量發(fā)展提供有力支撐,全力支持資本市場改革發(fā)展,牢牢守住不發(fā)生系統(tǒng)性網絡和信息安全風險的底線。
明確六類31項主要任務要求
《安全提升計劃》圍繞國家關于網絡和信息安全的具體要求,聚焦提升行業(yè)科技治理和信息系統(tǒng)架構掌控能力,聚焦防范網絡和信息安全風險,明確了六類31項主要任務要求。
具體來看,在建立科學合理的科技投入機制方面,《安全提升計劃》提出2項任務,包括加大科技資金投入、加強科技人才隊伍建設。鼓勵券商信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業(yè)收入的7%;鼓勵有條件的券商結合自身實際情況逐步提升信息科技專業(yè)人員比例至企業(yè)員工總數(shù)的7%,其中信息安全專業(yè)人員比例至信息科技專業(yè)人員總數(shù)的3%并且不少于2人。
此外,《安全提升計劃》中明確增強信息系統(tǒng)架構規(guī)劃掌控能力的任務共5項,包括建立及完善系統(tǒng)架構管理機制、建設及健全企業(yè)級應用架構、持續(xù)加強數(shù)據(jù)架構體系治理、多方位推進技術架構轉型升級、持續(xù)提高核心系統(tǒng)自主掌控能力。
在持續(xù)提高核心系統(tǒng)自主掌控能力方面,《安全提升計劃》鼓勵有條件的券商積極推進新一代核心系統(tǒng)的建設,根據(jù)不同客戶群開展核心系統(tǒng)技術架構的轉型升級工作。
除了上述兩類主要任務要求,《安全提升計劃》還明確了5項持續(xù)提升科技治理水平的任務、4項強化系統(tǒng)研發(fā)測試管理能力的任務、7項夯實系統(tǒng)運行保障能力的任務、8項健全信息安全防護體系的任務。
加強對證券行業(yè)網絡和信息安全提升工作的督導
近年來,證券行業(yè)對信息科技重視程度不斷增強,行業(yè)信息技術投入逐年增長。
招商證券非銀行金融行業(yè)首席分析師鄭積沙此前針對《安全提升計劃》征求意見稿表示,證券IT行業(yè)當前整體受益金融信創(chuàng)政策強催化,近年連續(xù)以遠超行業(yè)營收的增速增長,本次政策對行業(yè)結構性IT投入,特別是收入高基數(shù)的龍頭券商有明顯的推動作用。2022年,證券業(yè)整體營收和利潤出現(xiàn)了負增長。隨著內外部環(huán)境的改善,長期來看,證券IT支出規(guī)模的下限將跟隨資本市場的長期穩(wěn)定發(fā)展而水漲船高。
對于《安全提升計劃》中提出的鼓勵有條件的公司積極推進新一代核心系統(tǒng)的建設,鄭積沙判斷,2023至2025年證券公司將迎來核心系統(tǒng)的集中換代。
中證協(xié)強調,為推動《安全提升計劃》貫徹落實,將加強對證券行業(yè)網絡和信息安全提升工作的督導,通過推動各公司加強組織領導、重視人才培養(yǎng)、完善評估激勵、強化制度供給、做好安全服務、加強培訓交流和總結推廣示范實踐等方式,引導行業(yè)對標提升,構建良好的證券科技生態(tài)。