行业监管动态 - 证券行业针对《证券公司网络和信息安全三年提升计划(2023-2025)》的总结评估调研工作已正式启动，行业过去三年的科技安全投入与建设成果将迎来基于71项具体指标的全面检验 [1] 评估框架与核心领域 - 调研聚焦六大核心领域：持续提升科技治理水平、建立科学合理的科技投入机制、增强信息系统架构规划掌控能力、强化系统研发测试管理能力、夯实系统运行保障能力、健全信息安全防护体系 [2] - 71项具体任务被划分为55项“硬性”工作任务和16项鼓励性任务，覆盖了券商信息系统全生命周期的关键节点 [2] 科技治理与投入要求 - 科技治理层面有9项任务全部列为“硬性”工作任务，要求券商完善科技战略发展规划、健全科技治理架构，将科技治理上升至公司战略高度 [2] - 科技投入方面设置了量化引导指标，包括鼓励性任务如：2023年至2025年三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7% [3] - 另一项鼓励性任务是提升信息科技专业人员比例至企业员工总数的7%，信息安全专业人员比例提升至信息科技专业人员总数的3%并且不少于2人 [3] - 行业分析认为，人工智能正在引发证券行业底层技术架构的革新，有望引领券商新一轮科技投入浪潮 [3] 系统架构与研发管理 - 增强信息系统架构规划掌控能力涉及8项任务，包括建立及完善系统架构管理机制、推进技术架构转型、提高核心系统自主掌控能力等 [3] - 强化系统研发测试管理能力环节，有9项任务全部被列为“硬性”工作任务，包括建立需求设计分析机制、制定代码审计规范、加强测试质量管控等 [3] 运行保障与安全防护 - “夯实系统运行保障能力”与“健全信息安全防护体系”两大方向合计涉及40项具体任务，是此次评估的重点 [4] - 运行保障方面涵盖19项任务，特别强调“健全组织级应急响应管理机制”和“完善重要信息系统数据备份能力” [4] - 信息安全防护体系方面设置了21项具体任务，其中12项为“硬性”工作任务，涵盖等级保护测评、漏洞管控、攻击防控、数据安全管理等核心内容 [4] - “持续加强网络安全态势感知和通报预警”以及“加强数据安全管理体系建设”两项任务被重点提及，显示监管部门对数据要素安全和主动防御能力的高度重视 [4]