財聯(lián)社2月3日訊（記者 林堅）三年前，證券業(yè)全面啟動網(wǎng)絡(luò)和信息安全三年提升計劃（2023—2025），一度加速券商數(shù)字化轉(zhuǎn)型進程，2023年也被視為券業(yè)IT大變革開啟的元年。記者最新獲悉，中證協(xié)開始調(diào)研計劃的實施成效，對券商列出了71個關(guān)注項，行業(yè)迎來收官“質(zhì)檢”。

財聯(lián)社曾在2023年6月首發(fā)過《提升計劃》的全內(nèi)容，詳見《券業(yè)IT迎大變革一年！鼓勵以分布式、云原生等對信息系統(tǒng)架構(gòu)升級，鼓勵有條件券商合作研發(fā)或自主研發(fā)》，《提升計劃》的總體目標(biāo)是通過組織引導(dǎo)券商積極落實各項行動舉措，促進證券行業(yè)網(wǎng)絡(luò)和信息安全建設(shè)取得扎實成效。

這場覆蓋全行業(yè)的安全“大考”，究竟在檢驗什么？券商們的答卷又呈現(xiàn)出怎樣的特點？記者進行了最新梳理，這71問包括55項必做任務(wù)+16項鼓勵任務(wù)，不僅是對券商網(wǎng)絡(luò)和信息安全三年的階段性總結(jié)，更是對行業(yè)未來安全建設(shè)的指引。有券商表示，《提升計劃》的完善將推動券商進一步夯實信息安全基礎(chǔ)，提升風(fēng)險防控能力，為資本市場穩(wěn)定運行提供堅實保障。

值得一提的是，隨著這次調(diào)研深入，鑒于這是證券業(yè)第一個IT領(lǐng)域三年提升計劃，行業(yè)也關(guān)注后續(xù)是否有更豐富的內(nèi)容，不少IT人士也談到了比如大模型應(yīng)用情況等觀察視角。他們也期待，下一階段提升計劃會有更多優(yōu)化。比如更關(guān)注“投入效率”，比如投入是否精準(zhǔn)覆蓋業(yè)務(wù)風(fēng)險點、團隊是否具備應(yīng)急響應(yīng)能力、數(shù)據(jù)安全是否形成閉環(huán)管理。

在他們看來，這種“效果導(dǎo)向“的監(jiān)管思路，有助于引導(dǎo)券商避開“盲目投入”的誤區(qū)，聚焦自身業(yè)務(wù)的核心風(fēng)險。

技術(shù)架構(gòu)轉(zhuǎn)型、分布式與云原生成關(guān)注項

這次調(diào)研從科技治理、科技投入、系統(tǒng)架構(gòu)、安全防護、應(yīng)急響應(yīng)、合規(guī)監(jiān)管等多個維度，全面審視了券商信息安全建設(shè)的成效與不足。整體采用分類考核模式，將71項任務(wù)劃分為"工作任務(wù)"與"鼓勵性任務(wù)"兩類。其中55項為強制性工作任務(wù)，占比超七成，是券商必須完成的基礎(chǔ)要求；16項為鼓勵性任務(wù)，引導(dǎo)有條件的券商進一步提升安全水平。

圖為這次調(diào)研的部分關(guān)注項，例如技術(shù)架構(gòu)以及IT投入等等。

技術(shù)架構(gòu)轉(zhuǎn)型成為此次三年計劃的核心關(guān)注點之一，從集中式專有技術(shù)架構(gòu)向分布式、低時延、開放架構(gòu)遷移，同步推進云原生技術(shù)應(yīng)用與架構(gòu)管控機制建設(shè)，構(gòu)成了券商科技升級的主線。

調(diào)研明確將“推進技術(shù)架構(gòu)轉(zhuǎn)型”列為鼓勵性任務(wù)，要求券商加強核心系統(tǒng)技術(shù)攻關(guān)，針對不同客戶群體開展核心系統(tǒng)技術(shù)架構(gòu)升級，聚焦“高可用、高性能、低時延、易擴展及松耦合”五大特性。

具體來看，轉(zhuǎn)型路徑清晰。監(jiān)管層鼓勵有條件的券商推進新一代核心系統(tǒng)建設(shè)，打破傳統(tǒng)集中式架構(gòu)的性能瓶頸。對于轉(zhuǎn)型進度，調(diào)研明確關(guān)注“是否積極從集中式專有技術(shù)架構(gòu)向分布式、低時延、開放技術(shù)架構(gòu)轉(zhuǎn)型”，直接將架構(gòu)轉(zhuǎn)型成效納入評估范疇。

低時延特性的強調(diào)，與證券行業(yè)交易場景高度相關(guān)。無論是股票交易還是衍生品業(yè)務(wù)，毫秒級的時延差異都可能影響交易效率與客戶體驗，這也使得分布式架構(gòu)的“低時延”特性成為轉(zhuǎn)型核心訴求之一。調(diào)研中多次提及的“易擴展”特性，則指向券商應(yīng)對業(yè)務(wù)峰值的需求，如行情波動時的交易流量激增，分布式架構(gòu)可通過彈性擴容快速響應(yīng)。

云平臺建設(shè)是技術(shù)架構(gòu)轉(zhuǎn)型的另一重要抓手。調(diào)研顯示，監(jiān)管層鼓勵券商利用分布式、云原生等先進技術(shù)對信息系統(tǒng)進行架構(gòu)升級，提升系統(tǒng)健壯性與擴展性，同時加快信息系統(tǒng)在私有云與行業(yè)云的部署進程。

對于云部署的風(fēng)險控制，這次調(diào)研特別提及“是否制定相應(yīng)的風(fēng)險應(yīng)急預(yù)案，控制系統(tǒng)建設(shè)風(fēng)險”，同時關(guān)注“現(xiàn)有信息系統(tǒng)在私有云與行業(yè)云的部署比例”。這意味著券商云化進程需在“提速”與“安全”之間尋找平衡，不能單純追求部署比例，還要配套風(fēng)險防控機制。

云原生技術(shù)的應(yīng)用場景進一步細化。中證協(xié)在“做好安全全局性建設(shè)”任務(wù)中提到，需針對云計算、云原生、敏捷研發(fā)交付流水線等信息技術(shù)架構(gòu)變革，加強安全體系的“同步規(guī)劃、同步建設(shè)、同步運營”。這一要求將云原生技術(shù)與安全建設(shè)綁定，避免技術(shù)升級與安全防護出現(xiàn)脫節(jié)。

明確IT投入、人才配置量化指標(biāo)

此次調(diào)研繼續(xù)明確兩大核心量化指標(biāo)，為券商科技投入和人才配置提供清晰指引。

資金投入方面，設(shè)置雙重考核標(biāo)準(zhǔn)，一是2023-2025三個年度的信息科技投入平均金額，需不少于同期平均凈利潤的10%；二是同期信息科技投入平均金額，需不少于平均營業(yè)收入的7%。兩項標(biāo)準(zhǔn)并行，確保券商科技投入規(guī)模與經(jīng)營業(yè)績相匹配。

在科技投入這一硬性指標(biāo)上，頭部券商已率先達標(biāo)。

據(jù)記者了解，中信證券、國泰君安等頭部機構(gòu)2023-2024年信息科技投入占營收比例均穩(wěn)定在8%以上，遠超“平均營收7%”的要求；部分券商甚至將安全投入單獨列支，占科技總投入的比例達25%，重點投向零信任架構(gòu)、AI安全檢測等前沿領(lǐng)域。

中小券商則面臨“投入兩難”，某中部地區(qū)券商IT負責(zé)人此前坦言，“公司凈利潤規(guī)模有限，若按‘凈利潤10%’投入科技，會擠壓經(jīng)紀(jì)、投行等核心業(yè)務(wù)的資源，只能優(yōu)先保障合規(guī)必需的安全項目”。

不過也要看到，隨著部分頭部經(jīng)營機構(gòu)信息技術(shù)投入進入提質(zhì)增效階段以及多家中小經(jīng)營機構(gòu)數(shù)字化轉(zhuǎn)型工作提速，投入排名接近的經(jīng)營機構(gòu)在投入金額上的差距有所減少。行業(yè)整體的信息技術(shù)建設(shè)的擴張工作基本完成，技術(shù)投入的波動情況趨于穩(wěn)定，數(shù)字化轉(zhuǎn)型工作進入“精耕細作”的提質(zhì)增效階段。

人才配置上，調(diào)研提出專業(yè)人員比例要求。鼓勵有條件的券商將信息科技專業(yè)人員比例提升至企業(yè)員工總數(shù)的7%；信息安全專業(yè)人員比例需達到信息科技專業(yè)人員總數(shù)的3%，且絕對數(shù)量不少于2人。同時要求券商提供當(dāng)前信息科技專業(yè)人員總數(shù)及信息安全專業(yè)人員總數(shù)，便于精準(zhǔn)評估。

人才配置的差距已在過去三年中有所拉大。評估要求的“信息科技人員占比7%、安全人員占科技人員3%且不少于2人”，對頭部券商而言已是“基礎(chǔ)配置”；而中小券商的科技人員占比普遍在3%-5%之間，部分小型券商的安全團隊甚至只有1-2人，只能承擔(dān)“日常巡檢、漏洞修復(fù)”等基礎(chǔ)工作，無力應(yīng)對復(fù)雜的供應(yīng)鏈風(fēng)險、數(shù)據(jù)治理等問題。

需要看到，中小券商的投入受限于盈利規(guī)模，導(dǎo)致其科技投入能力天然會弱一些。

數(shù)據(jù)安全成“共性進步點”

結(jié)合財聯(lián)社調(diào)研，數(shù)據(jù)安全成為過去三年行業(yè)的“共性進步點”。這次調(diào)研也提到了數(shù)據(jù)安全這一重點內(nèi)容，明確要求券商建立長期有效的企業(yè)級數(shù)據(jù)規(guī)劃和發(fā)展戰(zhàn)略，加強數(shù)據(jù)架構(gòu)體系治理。針對數(shù)據(jù)出境場景，專門設(shè)置評估項，詢問是否存在數(shù)據(jù)出境情況，若有則需開展數(shù)據(jù)出境安全評估，符合《數(shù)據(jù)安全法》等監(jiān)管要求。

受《個人信息保護法》等法規(guī)驅(qū)動，無論是頭部還是中小券商，均完成了客戶數(shù)據(jù)的分類分級工作。有券商提供了一組數(shù)據(jù)稱，90%以上機構(gòu)實現(xiàn)了“客戶身份證號、銀行卡信息”等敏感數(shù)據(jù)的脫敏存儲。有華北地區(qū)中小券商合規(guī)負責(zé)人告訴記者，“數(shù)據(jù)安全是監(jiān)管檢查的重點，即使投入有限，也會優(yōu)先保障客戶信息安全，這是行業(yè)的共識底線”。