近日，中证协正在向券商调研信息技术的相关情况。据悉，前几年，中证协部署过券商信息技术的三年规划，如今这一规划已经到期，中证协正在调研券商的落实情况。

据悉，本次调研涉及了70多项具体任务的落实，包括券商年度信息科技投入平均金额是否不少于年度平均净利润的10%或平均营业收入的7%？券商面向客户应用的主用App通过证券行业安全认证的数量是多少？

三年前提出规划

2023年6月，中证协发布了《证券公司网络和信息安全三年提升计划（2023—2025）》（下称《安全提升计划》），目的在于推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设，提高资本市场网络和信息安全水平，防范化解网络与信息系统安全风险。

《安全提升计划》起草说明中提到，2022年上半年，证券行业网络安全事件发生较为频繁，对资本市场的安全平稳运行造成较大冲击。行业整体信息技术投入不足、信息系统架构落后、信息技术管理能力欠缺，已经成为长期制约行业信息系统安全的主要问题。

针对上述情况，《安全提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题，从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。

《安全提升计划》明确了六大类31项主要任务。其中，持续提升科技治理水平的任务共5项，建立科学合理的科技投入机制的任务共2项，增强信息系统架构规划掌控能力的任务共5项，强化系统研发测试管理能力的任务共4项，夯实系统运行保障能力的任务共7项，健全信息安全防护体系的任务共8项。

检验实际落实成效

近日，中证协向券商发送了《关于开展证券公司网络和信息安全三年提升计划(2023—2025)总结评估调研的函》。中证协表示，为持续提升行业网络和信息安全保障能力，进一步掌握各证券公司《安全提升计划》实施情况，根据监管部门做好总结评估工作的要求，中证协拟开展“证券公司网络和信息安全三年提升计划(2023—2025)总结评估调研”工作，各家券商需要根据实际情况认真填写相关问题。

记者注意到，这次调研从科技治理、科技投入、系统架构、安全防护、应急响应、合规监管等多个维度，全面审视了券商信息安全建设的成效与不足。整体采用分类考核模式，将71项任务划分为“工作任务”与“鼓励性任务”两类。其中55项为强制性工作任务，占比超七成，是券商必须完成的基础要求；16项为鼓励性任务，引导有条件的券商进一步提升安全水平。

科技投入不少于净利润的10%

在建立科学合理的科技投入机制大项下，有两个细分项。一个是合理加大科技资金投入。鼓励进一步合理加大科技资金投入，有条件的公司在2023—2025年三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7%，并保障充足的网络和信息安全经费投入。

就此，中证协调研的问题是：贵司2023—2025年三个年度的信息科技投入的平均金额是否不少于上述三个年度平均净利润的10%？以及贵司2023—2025年三个年度的信息科技投入的平均金额是否不少于上述三个年度平均营业收入的7%？

据券商中国记者了解，中信证券、国泰君安等头部机构2023—2024年信息科技投入占营收比例均稳定在8%以上，远超“平均营收7%”的要求；部分券商甚至将安全投入单独列支，占科技总投入的比例达25%，重点投向零信任架构、AI安全检测等前沿领域。

另一个细分项是加强科技人才队伍建设。证券公司制定人才培养计划，鼓励进一步合理增加科技人员投入，持续充实信息科技专业人才队伍，鼓励有条件的证券公司结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%，其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人。中证协调研券商是否达到上述要求。

完善APP认证机制

中证协调研的问题是：贵司面向客户应用的主用App有几个？通过了证券行业安全认证的数量是多少？

在健全信息安全防护体系的大项下，有一个细分项是完善移动客户端应用软件认证机制。证券公司充分了解移动客户端应用软件（以下简称“App”）安全检测认证的重要性，参照行业App安全标准要求开发运营App，鼓励委托具有资质的第三方专业机构开展App安全认证，及时发现App中存在的安全隐患，保障证券公司自行运营的App在程序开发、个人信息处理、数据安全、密码应用、安全管理等方面符合国家及行业信息安全标准，切实保护投资者个人信息安全。

排版：汪云鹏

校对：彭其华