文章核心观点 - 中国证券业协会向证券公司下发《证券公司网络和信息安全三年提升计划（2023-2025）》调研问卷，要求券商在2026年2月15日前提交，旨在评估其网络与信息安全建设的刚性指标完成度，并通过量化数据和典型案例提炼可推广经验 [1] 科技治理水平 - 评估聚焦科技战略的顶层设计，要求券商将网络和信息安全深度融入公司整体的信息科技战略发展规划，并形成清晰的实施路径 [2] - 要求券商建立权责清晰的科技治理组织，如科技治理委员会、首席信息官等机制，并确保其定期召开会议，将网络安全重点任务有效分解至执行部门并设定明确评价标准 [2] - 推动券商构建覆盖信息系统全生命周期的标准化管理框架，从开发、测试到运维与安全均需建立规范化流程与制度 [2] - 要求券商增强合规风控内部审查，健全信息科技风险管理三道防线，全面识别风险并每年定期组织内部审查，建立闭环管理机制 [4] 科学合理的科技投入机制 - 要求券商详细说明2023至2025三年间，年均信息科技投入是否达到不低于年均净利润10%或年均营业收入7%的行业参考水平，旨在引导券商为网络与信息安全领域规划并保障独立、充足的专项经费 [6] - 重点考察券商在网络安全专业人才的“选、育、用、留”全链条机制建设，包括吸引顶尖安全人才的薪酬与职级体系、为技术人员提供持续的专业技能培训与实战攻防演练机会，以及将安全意识培训覆盖至全体员工 [6] 信息系统架构规划掌控能力 - 关注券商是否设立专门的架构师团队或岗位，对全公司技术架构进行统一规划、设计与管控，以改变“烟囱式”系统建设模式 [8] - 评估企业级架构能力的进展，例如是否通过加强业务一体化服务平台建设，实现业务能力的组件化、平台化 [8] - 关注券商是否制定了企业级的数据战略，确保核心数据资产得到有效管理和价值释放 [8] - 明确询问券商在核心系统技术架构升级方面的进展，特别是从传统集中式架构向分布式、低时延、开放架构的迁移情况，以及云平台的应用和部署比例 [8] - 要求券商说明是否在与重要供应商合作的同时，深入掌握核心系统的技术演进路径与关键设计，以降低对单一外部技术的“黑盒”依赖 [9] 系统研发测试管理能力 - 推动安全与质量要求深度“左移”，要求券商建立规范的需求设计机制，并特别强调必须制定信息系统的非功能性需求规范，在需求阶段就对安全性、性能等指标进行充分论证和评审 [11] - 关注券商是否通过建设一体化的开发工具链与制定严格的代码规范，来同步提升开发效率与代码安全质量 [12] - 要求券商必须制定覆盖自研和外购系统的代码审计规范，并对所有自研代码实现100%的审计覆盖，对于外购系统需厘清供应商是否提供源代码或权威的代码审计报告 [12] - 关注券商是否配备了与开发规模相匹配的专职测试团队，并要求提供具体的开发测试人员比例数据，同时需建立完善的软件质量管理制度与测试标准流程 [12] - 要求所有重要信息系统或重大功能变更在上线前都必须完成全面、严格的测试验收 [12] 系统运行保障能力 - 评估覆盖系统从上线到下线的全过程：重要系统上线需进行涵盖业务合规、权限、关联影响及运维预案的全面评估；系统下线则需完成技术影响评估并制定周密的数据迁移与保管方案 [14] - 在变更管理上，强调风险管控的精细化与自动化，要求券商利用技术工具识别变更关联影响，普遍采用灰度发布等策略，并直接询问重要信息系统的自动化发布比率 [14] - 要求运维体系具备快速感知、精准定位和高效恢复故障的能力，包括建立覆盖业务链路的立体化监控体系，并积极引入人工智能运维技术实现故障的智能预警与根因分析 [14] - 必须建立组织级、平台化的应急指挥与协作系统，实现应急预案的线上化、可视化演练与执行 [14] - 要求券商说明是否建立了基于数据分析的容量预测模型，以及是否通过平台化工具实现数据备份、恢复、验证的全流程自动化与可视化管理 [14] 信息安全防护体系 - 评估首先关注是否全面落实了网络安全等级保护制度，完成了定级、备案与测评工作 [16] - 漏洞的全生命周期管理被置于突出位置，要求券商建立闭环的漏洞管理机制，并深度融入研发流程、供应链管理以及常态化的渗透测试、攻防演练等主动发现手段 [16] - 关注券商是否构建了具备协同联动、自动化响应能力的实战化安全防御体系，并定期通过“红蓝对抗”、实战攻防演习来检验和提升体系的有效性 [16] - 强调态势感知和通报预警能力建设，不仅要求券商自建平台，更要求完成与行业态势感知平台的数据对接，实现全局性的威胁情报共享与联防联控 [16] - 对数据安全与个人信息保护提出体系化要求，券商需说明是否建立了涵盖数据分类分级、全生命周期防护的管理制度，并对重要数据、个人信息处理活动、数据出境场景等开展定期的风险评估 [16] - 评估范围还包括移动客户端App的安全认证情况、全员安全意识与技能的常态化培训，以及在新系统建设中落实安全“三同步”（同步规划、建设、运营）原则的情况 [17]