《监管重磅！券商网络安全三年攻坚计划落地 33 项任务清单划重点》

　　中证协发布券商网络安全三年提升计划 33 项硬指标勾勒科技升级路径

　　【证券时报 2023 年 1 月 7 日讯】券商中国记者获悉，中国证券业协会(中证协)于 1 月 6 日启动《证券公司网络和信息安全三年提升计划(2023-2025)》(下称《计划》)征求意见，这份指导未来三年行业科技安全建设的纲领性文件，以 "硬性指标 + 任务清单" 形式划定券商科技投入、系统架构、安全防护等六大领域的升级路径。值得关注的是，《计划》明确提出差异化科技投入标准，鼓励头部券商信息科技投入占比不低于净利润 8%，并将安全能力纳入券商分类监管评级体系。

　　一、政策背景：行业安全痛点倒逼三年攻坚

　　2022 年上半年证券行业网络安全事件频发，暴露出三大系统性问题：

　　投入不足：行业信息技术投入占营收比例长期低于 5%，核心系统架构迭代滞后

　　管理薄弱：62% 中小券商未建立专职安全团队，漏洞响应时效超 48 小时

　　架构陈旧：85% 券商核心系统仍采用集中式架构，分布式转型进度缓慢

　　对此，《计划》聚焦科技治理、投入机制、架构设计等六大维度，通过 33 项具体任务构建 "投入 - 架构 - 管理 - 防护" 的全链条提升体系，目标到 2025 年实现行业安全防护能力质的飞跃。

　　二、核心政策要点解析

　　1. 科技投入机制：划定硬性指标与结构红线

　　资金投入：鼓励头部券商 2023-2025 年科技投入均值≥净利润 8% 或营收 6%，其中网络安全投入≥科技总投入 7%

　　人才配置：科技人员占比≥员工总数 6%，网络安全专岗≥科技人员 3% 且不少于 4 人

　　结构导向：重点向研发类、信创建设、云原生技术倾斜，明确云计算平台承载系统比例≥60%

　　2. 系统架构升级：分布式转型与云化攻坚

　　核心系统重构：2024 年底前启动集中式架构向分布式转型，要求新架构具备 "高可用 + 低时延 + 易扩展" 特性

　　云化进程：2025 年实现 60% 系统上云，其中容器化云原生系统占比≥10%

　　自主可控：建立核心系统技术攻关机制，重点提升交易、清算等关键系统的自主掌控能力

　　3. 安全防护体系：全生命周期管控强化

　　漏洞管理：2023 年底前建立覆盖研发、供应链、巡检的全流程漏洞管理体系，高危漏洞响应≤24 小时

　　App 安全：强制委托第三方机构开展移动客户端安全认证，重点整治个人信息处理、数据加密等环节风险

　　态势感知：部署统一安全管理平台，实现网络攻击、数据泄露等风险的实时监测与预警

　　三、33 项任务清单核心看点

　　1. 科技治理能力提升（5 项）

　　2023 年底前完成科技战略规划制定，要求与公司整体战略深度耦合，每年动态修订

　　建立供应商分级管理机制，对核心服务商实施年度安全评估与履约审计

　　2. 研发测试体系强化（5 项）

　　自研系统代码审计 覆盖，重点模块实现 "开发 - 审计 - 测试" 三岗分离

　　测试人员配置≥研发团队 20%，重要系统变更需通过全链路压测验收

　　3. 运行保障体系夯实（7 项）

　　2023 年建成统一告警平台，实现业务 - 应用 - 基础设施的全栈监控

　　建立数据防篡改机制，核心数据备份留存周期≥6 个月，异地灾备切换时效≤15 分钟

　　4. 安全防护能力升级（8 项）

　　实施数据分类分级管理，敏感客户信息加密率

　　每年开展不少于 2 次全行业攻防演练，模拟钓鱼攻击、API 渗透等实战场景

　　四、配套保障与监管衔接

　　中证协将建立 "统计 - 评估 - 激励" 三位一体保障机制：

　　分类监管挂钩：网络安全能力纳入信息科技评级指标，权重占比提升至 15%

　　资金配套：设立行业科技安全专项基金，对信创示范项目给予 30% 资金补贴

　　人才认证：联合高校推出 "证券科技安全官" 认证体系，2024 年实现关键岗位持证上岗率

　　行业影响与专家解读

　　"这是证券行业以量化指标推动科技安全建设，特别是对投入比例、云化进度等设置硬性门槛，将加速行业技术分层。" 一位头部券商 CIO 指出，中小券商需在未来三年投入 2-5 亿元完成系统升级，而头部机构科技投入规模可能突破营收的 10%。

　　中国政法大学金融科技研究院院长李爱君表示，《计划》将推动券商从 "合规驱动" 向 "能力驱动" 转型，尤其是数据安全与 App 认证等要求，直接呼应了《个人信息保护法》与《数据安全法》的落地需求，有望重塑行业科技治理生态。