问题——三年建设迎来“全面体检”,行业安全能力接受系统检验。 近年来,证券行业线上化、移动化、平台化加速推进,交易、清算、客户服务、投研支持等核心环节对信息系统的依赖明显加深。业务高并发、系统高耦合、数据高价值的背景下,网络攻击、数据泄露、系统中断等风险更容易外溢并产生连锁传导。随着《证券公司网络和信息安全三年提升计划(2023-2025)》进入收官阶段,监管部门要求开展总结评估调研,中国证券业协会向券商下发问卷,围绕六大领域梳理成效、查找短板,并以71项指标对行业开展一次覆盖信息系统全生命周期的系统性评估。 原因——外部威胁上升与内部转型叠加,促使监管强化底线管理。 一上,网络安全形势持续变化,攻击方式从单点渗透向组织化、链条化、长期潜伏演进,叠加供应链安全与第三方服务风险,防护边界更难划清。另一方面,券商数字化转型不断深入,系统架构向云化、分布式、微服务等方向演进,新技术加快落地的同时,也带来研发测试、变更发布、权限管理、日志审计等环节的新要求。此外,行业曾发生系统宕机、交易中断等事件,暴露出应急响应、容量管理、备份恢复等关键能力仍需补强。基于此,用可量化、可核验的指标推动机构把安全能力“建日常、落到实处”,成为监管与行业治理的现实选择。 影响——评估将重塑券商科技安全“硬约束”,推动投入与治理双升级。 从指标设置看,问卷聚焦六大核心领域,并将任务分为“工作任务”和“鼓励性任务”两类,形成“底线要求+引导提升”的组合。 其一,科技治理被明确纳入公司战略层面,围绕科技战略规划、治理架构等设置多项硬性任务,传递“治理在前、责任到人”的导向。 其二,科技投入与人才队伍被纳入量化引导,既强调人才培养计划等刚性安排,也通过投入强度、人员占比等鼓励性指标,引导机构形成稳定、可持续的投入机制。 其三,架构掌控与研发测试被放在关键位置:系统架构管理机制、技术架构转型、核心系统自主可控等成为重点;需求分析、代码审计、测试质量管控等被列为硬性要求,突出“源头把关、过程控制”。 其四,运行保障与信息安全防护更强调闭环管理,从变更风险、故障发现、应急响应到容量性能、备份恢复等环节细化要求;信息安全上,等级保护测评、漏洞治理、攻击防控、数据安全管理、态势感知与预警通报等多次被强调,反映出对数据安全与主动防御能力的更高要求。 对策——以“治理—架构—流程—运营”四条主线补短板,构建可持续安全能力。 围绕评估要求与行业共性问题,业内普遍认为可从四个方面持续发力: 第一,强化科技治理与责任体系。推动董事会和经营层对科技与安全承担主体责任,完善科技条线的决策、监督与考核机制,做到战略规划可执行、风险边界可识别、重大事项可追溯。 第二,建立长期投入与人才机制。在成本约束与竞争压力并存的情况下,通过预算机制锁定关键能力建设投入,完善专业人才培养、引进与梯队建设,提高信息科技与信息安全人员配置的匹配度。 第三,把控架构演进与研发测试质量。围绕核心系统自主掌控、架构治理、标准化与规范化建设,降低复杂度与耦合度;在研发测试环节落实安全审计、自动化测试、灰度发布、变更审批等机制,减少“带病上线”。 第四,提升运行保障与主动防御水平。以应急响应机制、灾备体系和数据备份能力为基础,强化监测告警、态势感知、漏洞管理、攻防演练与处置复盘,推动从“事后处置”向“事前预防、事中阻断”转变。 前景——以评估为抓手推动行业从“达标建设”迈向“能力运营”。 随着证券行业竞争从产品与渠道延伸至科技能力与服务体验,网络与信息安全不再只是合规项,更是影响机构韧性、声誉与客户信任的基础能力。业内人士指出,新一轮技术变革正在重塑底层架构与业务模式,安全建设需要与架构升级同步规划、与业务创新同步推进。此次总结评估有望形成“可对标、可改进、可追责”的行业共识,推动机构在投入、治理、流程与运营层面持续迭代,继续提升关键系统稳定性与数据安全水平。
网络与信息安全不是一次性投入、阶段性达标的任务,而是伴随业务发展持续推进的长期工程;三年提升计划的总结评估,既是对既有成效的集中检验,也是在为下一阶段能力建设明确方向。只有以更高标准完善治理、推动技术升级、做实运营闭环,才能在数字化加速与风险并存的环境中守住底线、增强韧性,为资本市场安全稳定运行打下更牢固的基础。