转自:中国证券报
6月9日晚间,中国证券业协会发布消息称,正式印发《证券公司网络和信息安全三年提升计划(2023-2025)》(简称《安全提升计划》),明确了六大类31项主要任务,其中,鼓励信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%;鼓励有条件的券商结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%等。
遵循四大基本原则
为推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,防范化解网络与信息系统安全风险,《安全提升计划》明确了应当遵循的基本原则:一是稳健性原则,强化合规风控,严守风险底线;二是系统性原则,强化协同机制,整体规划;三是差异性原则,强化专业引领,因司制宜;四是创新性原则,强化创新驱动,科技赋能。
中证协表示,未来三年全面提升证券公司网络和信息安全的总体目标是通过组织引导证券公司积极落实各项行动举措,促进证券行业网络和信息安全建设取得扎实成效。
其中,包括行业从业人员网络和信息安全意识明显增强,科技治理能力有效提升,信息系统架构掌控能力全面加强,科技资金投入和人才培养力度持续加大,网络和信息安全防护体系基本健全,行业科技创新和数字化转型迈上新的台阶,为行业高质量发展提供有力支撑,全力支持资本市场改革发展,牢牢守住不发生系统性网络和信息安全风险的底线。
明确六类31项主要任务要求
《安全提升计划》围绕国家关于网络和信息安全的具体要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚焦防范网络和信息安全风险,明确了六类31项主要任务要求。
具体来看,在建立科学合理的科技投入机制方面,《安全提升计划》提出2项任务,包括加大科技资金投入、加强科技人才队伍建设。鼓励券商信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%;鼓励有条件的券商结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%,其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人。
此外,《安全提升计划》中明确增强信息系统架构规划掌控能力的任务共5项,包括建立及完善系统架构管理机制、建设及健全企业级应用架构、持续加强数据架构体系治理、多方位推进技术架构转型升级、持续提高核心系统自主掌控能力。
在持续提高核心系统自主掌控能力方面,《安全提升计划》鼓励有条件的券商积极推进新一代核心系统的建设,根据不同客户群开展核心系统技术架构的转型升级工作。
除了上述两类主要任务要求,《安全提升计划》还明确了5项持续提升科技治理水平的任务、4项强化系统研发测试管理能力的任务、7项夯实系统运行保障能力的任务、8项健全信息安全防护体系的任务。
加强对证券行业网络和信息安全提升工作的督导
近年来,证券行业对信息科技重视程度不断增强,行业信息技术投入逐年增长。
招商证券非银行金融行业首席分析师郑积沙此前针对《安全提升计划》征求意见稿表示,证券IT行业当前整体受益金融信创政策强催化,近年连续以远超行业营收的增速增长,本次政策对行业结构性IT投入,特别是收入高基数的龙头券商有明显的推动作用。2022年,证券业整体营收和利润出现了负增长。随着内外部环境的改善,长期来看,证券IT支出规模的下限将跟随资本市场的长期稳定发展而水涨船高。
对于《安全提升计划》中提出的鼓励有条件的公司积极推进新一代核心系统的建设,郑积沙判断,2023至2025年证券公司将迎来核心系统的集中换代。
中证协强调,为推动《安全提升计划》贯彻落实,将加强对证券行业网络和信息安全提升工作的督导,通过推动各公司加强组织领导、重视人才培养、完善评估激励、强化制度供给、做好安全服务、加强培训交流和总结推广示范实践等方式,引导行业对标提升,构建良好的证券科技生态。
编辑:郑雅烁