中证协全面启动券商网安“期末考” 六大领域成果迎系统检阅

21世纪经济报道 记者 崔文静

中证协近日面向证券公司下发《证券公司网络和信息安全三年提升计划（ 2023-2025 ）》（以下简称《计划》），要求各证券公司于2026年2月15日前通过数据报送系统提交调研问卷。

本次调研聚焦刚性指标完成度，并通过量化数据和典型案例提炼可推广经验。

问卷设置了六大评估领域，包括科技治理水平、科学合理的科技投入机制、信息系统架构规划掌控能力、系统研发测试管理能力、系统运行保障能力、信息安全防护体系。每一领域下设2—8个不等的重点任务，要求券商逐项自查。

例如，在判定“是否完成”评估项时，必须以全部达标为标准；对未完成事项需简明分析原因并限100字内说明影响；对已完成工作则要求以量化数据体现提升效果。

值得注意的是，问卷特别设置“关键成效案例”板块，要求券商梳理1—2个实践案例，集中展现安全能力提升的关键指标。

评估工作的开端，直指证券公司科技治理的顶层设计与执行效能。

问卷首先聚焦于科技战略的规划与动态演进，关注券商是否已将网络和信息安全深度融入公司整体的信息科技战略发展规划，并形成了清晰的实施路径。

健全的治理架构是战略落地的保障。评估内容深入检视券商是否建立了权责清晰的科技治理组织，例如科技治理委员会、首席信息官等机制是否切实运转。问卷特别强调，此类治理组织需定期召开会议，不仅进行决策，更需将网络安全的重点任务有效分解至执行部门并设定明确的评价标准，确保治理决策能够穿透层层壁垒，直达业务与技术末梢。

在管理体系建设方面，评估推动券商构建覆盖信息系统全生命周期的标准化管理框架，从开发、测试到运维与安全，均需建立规范化的流程与制度。

此外，中证协要求券商增强合规风控内部审查，健全信息科技风险管理三道防线。全面识别风险、揭示问题，每年定期组织各防线的内部审查，建立闭环管理机制，确保风险及问题妥当处置。

建立科学合理的科技投入机制，是此次调研的第二大重点。

其重要内容之一是科技资金投入情况。券商需详细说明，在2023至2025三年间，年均信息科技投入是否达到了不低于年均净利润10%或年均营业收入7%的行业参考水平。这一指标的核心目的，在于引导券商在整体加大科技赋能力度的同时，必须为网络与信息安全领域规划并保障独立、充足的专项经费，使安全建设摆脱“成本中心”的陈束缚，获得稳定的资源支撑。

如果说资金是“硬投入”，那么人才就是“软实力”。此次调研虽然未在提供的素材中展开具体评估项，但结合“三年提升计划”的总体要求与行业发展逻辑，重点考察券商在网络安全专业人才的“选、育、用、留”全链条机制建设。

这包括是否建立了吸引顶尖安全人才的薪酬与职级体系，是否为技术人员提供了持续的专业技能培训与实战攻防演练机会，以及是否将安全意识与基本技能培训覆盖至全体员工，特别是研发、运维等关键岗位。

在数字化时代，对信息系统架构的掌控力至关重要。评估问卷的第三大板块，深入探查了券商在这一核心领域的转型深度。

首要关注点是架构管理的专业化水平，即券商是否设立了专门的架构师团队或岗位，对全公司的技术架构进行统一规划、设计与管控，从而改变以往可能存在的“烟囱式”系统建设模式，提升整体架构的合理性与一致性。

在此基础之上，评估进一步追问企业级架构能力的实质性进展。例如，是否通过加强业务一体化服务平台建设，实现了业务能力的组件化、平台化，以支撑快速的业务创新与迭代。

同时，对数据架构治理的评估，则关注是否制定了企业级的数据战略，确保数据这一核心资产得到有效管理和价值释放。

最引人瞩目的评估方向，集中在技术架构的前沿转型。问卷明确询问券商在核心系统技术架构升级方面的进展，特别是从传统集中式架构向分布式、低时延、开放架构的迁移情况。对于云平台的应用，不仅关注是否采用云原生等先进技术进行升级，也关注信息系统在私有云、行业云的具体部署比例及相应的风险控制措施。

这些努力的最终指向，是 “自主掌控能力” 的提升。评估要求券商说明，是否在与重要供应商保持开放合作的同时，深入掌握了核心系统的技术演进路径与关键设计，从而大幅降低对单一外部技术的“黑盒”依赖。

安全的防线越早构筑，成本越低，效果越好。调研的第四部分，聚焦于软件生命周期的源头——研发与测试环节，旨在推动安全与质量要求深度“左移”。

评估从需求分析的起点介入，要求券商建立规范的需求设计机制，并特别强调必须制定信息系统的非功能性需求规范，在需求阶段就对安全性、性能、可用性等指标进行充分论证和评审，使之成为项目立项的“硬约束”。

进入开发阶段，评估关注券商是否通过建设一体化的开发工具链与制定严格的代码规范，来同步提升开发效率与代码安全质量。

其中，代码审计是重中之重的一环。问卷设置了明确而具体的要求：券商必须制定覆盖自研和外购系统的代码审计规范，并对所有自研代码实现100%的审计覆盖。对于外购系统，则需厘清供应商是否提供源代码或权威的代码审计报告，从而将安全责任穿透至供应链上游。

测试是交付前的最后一道质量闸门。评估不仅关注券商是否配备了与开发规模相匹配的专职测试团队（并要求提供具体的开发测试人员比例数据），更关注是否建立了完善的软件质量管理制度与测试标准流程。

最终，所有重要信息系统或重大功能变更，在上线前都必须完成全面、严格的测试验收。

夯实系统运行保障能力是评估的第五部分，该部分全面审视了券商生产运维体系的韧性、智能与效率。

评估覆盖了系统从“生”到“死”的全过程：对于重要系统上线，需进行涵盖业务合规、权限、关联影响及运维预案的全面评估；对于系统下线，则需完成技术影响评估并制定周密的数据迁移与保管方案。

在日常运维的核心——变更管理上，评估强调风险管控的精细化与自动化。券商需说明是否利用技术工具识别变更关联影响，普遍采用灰度发布等策略控制风险，并通过平台将变更流程标准化。问卷直接询问重要信息系统的自动化发布比率，这是衡量运维现代化水平的重要指标之一。

面对不可避免的故障，评估要求运维体系具备快速感知、精准定位和高效恢复的能力。这包括建立覆盖业务链路的立体化监控体系，并积极引入人工智能运维技术，实现故障的智能预警与根因分析。

同时，必须建立组织级、平台化的应急指挥与协作系统，实现应急预案的线上化、可视化演练与执行，确保在重大突发事件中能快速协同、有效处置。

此外，前瞻性的容量规划与数据备份也是评估重点。券商需说明是否建立了基于数据分析的容量预测模型，以及是否通过平台化工具实现数据备份、恢复、验证的全流程自动化与可视化管理。

作为网络安全的最后一道，信息安全防护体系是此次评估内容最丰富、要求最细致的部分。

评估首先关注合规基线的扎实程度，即是否全面落实了网络安全等级保护制度，完成了定级、备案与测评工作。

在此之上，评估的核心指向了动态、主动的防御能力建设。漏洞的全生命周期管理被置于突出位置。问卷详细考察券商是否建立了闭环的漏洞管理机制，并要求该机制必须深度融入研发流程、供应链管理以及常态化的渗透测试、攻防演练等主动发现手段。这要求漏洞管理不能仅是安全团队的内部事务，而必须成为贯穿业务、研发、运维的协同流程。

在主动防御层面，评估关注券商是否构建了具备协同联动、自动化响应能力的实战化安全防御体系，并定期通过“红蓝对抗”、实战攻防演习来检验和提升该体系的真实有效性。

同时，态势感知和通报预警能力建设被单独强调，不仅要求券商自建平台，更要求完成与行业态势感知平台的数据对接，实现全局性的威胁情报共享与联防联控。

随着数据成为核心资产，评估对数据安全与个人信息保护提出了体系化要求。券商需说明是否建立了涵盖数据分类分级、全生命周期防护的管理制度，并对重要数据、个人信息处理活动、数据出境场景等开展定期的风险评估。

此外，对移动客户端App的安全认证情况、全员安全意识与技能的常态化培训，以及在新系统建设中落实安全“三同步”（同步规划、建设、运营）原则的情况，也都纳入了评估范围。

这部分评估勾勒出一幅从技术到管理、从合规到实战、从外部防御到数据与人员安全的立体化防护蓝图，检验券商是否已为应对日益复杂的网络威胁做足准备。