中证协就《安全提升计划》征求意见:券商数字化转型进入加速期 行业科技投入将持续加大

2023-01-10 07:54:37 来源:证券日报 作者:周尚伃

  当前,证券行业数字化转型正加速推进,并不断推动业务与技术的融合。不过,随着网络和信息安全管理日趋复杂,信息安全事件的频发,使得行业网络和信息安全管理能力面临更大挑战。

  对此,为加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平,推动数字赋能行业高质量发展等,中国证券业协会近日起草并向券商下发了《证券公司网络和信息安全三年提升计划(2023-2025)》(征求意见稿)(以下简称《安全提升计划》),并以附件的形式将重点事项进行任务分解,合计33项重点工作。

  对券商六大方面明确提出

  提升方向和要求

  《安全提升计划》主要任务聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。

  科技治理能力方面,券商需要在2023年年底前据公司的整体战略规划,制定全方位的网络和信息科技战略发展规划,并完善信息系统的开发、测试、运维及信息安全等技术管理领域的管理体系。

  科技投入机制方面,主要包括加大科技资金投入,加强科技人才队伍建设等两方面。近年来,券商对信息科技重视程度不断增强,行业信息技术投入逐年增长,2017年至2021年期间行业持续加大信息技术领域的投入为行业数字化转型和高质量发展奠定坚实基础,在信息技术领域累计投入近1200亿元。

  具体来看,《安全提升计划》鼓励有条件的公司2023年至2025年三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。以最新披露数据为例,2021年证券行业信息技术投入金额为338.2亿元,同比增长28.7%,占上一年度营业收入的7.7%;其中有10家券商的投入均超10亿元,信息技术投入占营业收入比例超6%的券商有20家,而不少中小券商也将金融科技视为核心竞争力之一,华林证券、华鑫证券的投入占比均已超20%;不过中信证券、中信建投等部分头部券商的投入占比均在6%以下。

  申万宏源预计,“未来假设全部券商达到6%收入要求标准,则按照过去三年平均收入计算,增量信息技术投资金额约22亿元。 ”

  与此同时,人才更是证券行业数字化转型的关键所在。《安全提升计划》要求券商信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。并且各券商要优化技术从业人员结构,聚焦专业素质能力提升,做好金融科技专业领域核心人才挖掘、培养,完善从业人员梯队结构,做好青年技术员工等储备。同时,健全从业人员培养体系、完善市场化激励约束机制。

  信息安全是重中之重

  信息技术能力建设尤为重要

  当前,券商对数字化转型的重要性及紧迫性已达成共识。根据中证协调查反馈显示,共77家证券公司将数字化转型列为公司发展战略,数字化转型的“主战场”逐步由零售经纪业务扩展到机构业务、资产管理、投资银行、自营投资、中后台等多个领域,数字化转型覆盖多业务领域的证券公司有69家,占比高达89.61%。证券行业数字化转型已进入全面加速阶段,广度和深度不断加大。

  中信建投非银金融团队认为,“金融机构数字化转型已不局限于‘信息化+互联网’赋能升级,而是建立‘全面化+跨行业’融合机制,作为配置市场资源、提供风险定价的重要角色,券商的信息技术能力在此数字化浪潮中显得尤为重要。”

  不过,券商在转型过程中也逐渐暴露出一系列阶段性问题,信息安全事件更是时有发生,对资本市场的安全平稳运行造成较大冲击。数据显示,在2017至2021年信息技术风险相关的监管处罚中,有26.09%的证券公司是因为信息技术系统建设不完善,部分业务环节、风控环节未纳入系统监管流程,从而受到监管处罚;其余73.91%的证券公司主要是因为信息技术应用过程中相应的管理机制不健全、管理流程缺失等内部合规管理不足造成。

  2022年,某大型券商因系统交易问题登上微博热搜,此后,监管火速对该券商采取责令改正的整改措施,并指出该券商在网络安全事件中,存在变更管理不完善,应急处置不及时、不到位等问题。而在2021年,另有某券商更是发生集中交易系统部分中断,影响交易时间合计约20分钟,达到较大信息安全事件标准。

  至此,《安全提升计划》要求券商在2023年底前建立全面覆盖业务、应用、底层基础架构和基础设施的信息系统运行监测体系,并持续完善,不断提升运行监控的覆盖度,应建设统一的告警平台;并建立与持续完善软件质量管理制度以及测试指引、制定信息系统备份管理策略、建立完善的漏洞管理制度、建立个人信息保护制度体系等。