文章核心观点 - 中国证券业协会正在对证券公司就《证券公司网络和信息安全三年提升计划（2023—2025）》的落实情况进行总结评估调研，以检验过去三年行业信息安全建设的成效与不足 [1][4] 行业监管背景与规划目标 - 2023年6月，中证协发布《证券公司网络和信息安全三年提升计划（2023—2025）》，旨在推动证券公司加强网络与信息系统安全稳定运行保障体系和能力建设 [2] - 该计划的制定背景是2022年上半年证券行业网络安全事件发生较为频繁，行业整体存在信息技术投入不足、系统架构落后、管理能力欠缺等长期问题 [2] - 计划从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面提出提升方向和要求 [2] - 计划明确了六大类共31项主要任务 [3] 当前调研评估详情 - 中证协本次调研涉及70多项具体任务的落实情况，整体采用分类考核模式，将71项任务划分为“工作任务”与“鼓励性任务”两类 [2][4] - 其中55项为强制性工作任务，占比超七成，是券商必须完成的基础要求；16项为鼓励性任务，用于引导有条件的券商进一步提升安全水平 [4] - 调研从科技治理、科技投入、系统架构、安全防护、应急响应、合规监管等多个维度全面审视券商信息安全建设 [4] 科技投入机制要求与现状 - 在科技投入机制方面，鼓励有条件的公司在2023—2025年三个年度信息科技投入平均金额不少于上述三个年度平均净利润的10%或平均营业收入的7% [5] - 中证协直接调研券商是否达到上述两个比例要求 [6] - 头部机构如中信证券、国泰君安等，其2023—2024年信息科技投入占营收比例均稳定在8%以上，远超“平均营收7%”的要求 [6] - 部分券商将安全投入单独列支，占科技总投入的比例达25%，重点投向零信任架构、AI安全检测等前沿领域 [6] - 在科技人才队伍建设上，鼓励券商逐步提升信息科技专业人员比例至企业员工总数的7%，其中信息安全专业人员比例至信息科技专业人员总数的3%并且不少于2人 [6] 信息安全防护体系要求 - 在健全信息安全防护体系方面，要求完善移动客户端应用软件（App）安全检测认证机制 [7] - 中证协调研券商面向客户应用的主用App数量以及通过证券行业安全认证的数量 [7] - 鼓励券商委托具有资质的第三方专业机构开展App安全认证，以保障App在程序开发、个人信息处理、数据安全等方面符合国家及行业标准 [7]