每经记者:王砚丹 每经编辑:肖芮冬
(资料图)
《每日经济新闻》获悉,日前,中证协向券商下发了《网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》)征求意见稿,提出33项重点工作。
其中明确指出,鼓励有条件的券商未来三年信息科技平均投入金额不少于平均净利润的8%或平均营业收入的6%,信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
中证协指出,随着证券公司业务与技术加速融合,网络和信息安全管理日趋复杂,信息系统建设任务明显增加,上线变更操作较为频繁,行业网络和信息安全管理能力面临更大挑战。2022上半年,证券行业网络安全事件发生较为频繁,对资本市场的安全平稳运行造成较大冲击。根据证监会指示精神,为推动行业机构持续加强网络安全防护能力建设,稳步提升证券期货业网络和信息安全保障水平,协会组织证券科技专业委员于2022年7~8月开展了行业信息系统安全的评估工作,立足证券公司信息系统安全现状,聚焦网络和信息安全存在的基础性、深层次问题,从技术投入、系统架构、研发测试、运维管理、人才培养、团队建设等方面开展深入调研,查找行业信息系统安全运行的薄弱环节。在调研分析与总结基础上,委员会成立起草小组于9~10月研究编写了《安全提升计划》,在委员会层面征求了意见建议,并根据证监会科技局要求予以报送初稿。11~12月,起草小组认真学习贯彻党的二十大精神,并进行了多轮讨论,对《安全提升计划》作进一步完善,形成征求意见稿。
本次发布的《安全提升计划》聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
每经记者注意到,《安全提升计划》以附件的形式将重点事项进行任务分解,合计33项重点工作,综合考虑不同年度、不同类型公司、不同基础,以清单形式形成具体落实要求,以便于各公司更清晰明了参照执行。
值得一提的是,当中33项具体任务特别提到,要合理加大科技资金投入。鼓励进一步合理加大科技资金投入,有条件的公司2023~2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%,其中网络和信息安全投入不低于信息科技投入的7%。
此外,还要求券商加强科技人才队伍建设。证券公司制定人才培养计划,鼓励进一步合理增加科技人员投入,持续充实专业技术人才队伍,配备充足的信息科技和网络安全等专业人才,信息科技专业人员不低于公司员工总数的6%,网络和信息安全专业人员不低于信息科技专业人员的3%且不应少于4人。
中证协数据显示,2021年全行业140家证券公司实现营业收入5024.10亿元,实现净利润1911.19亿元。2021年全行业信息技术投入金额338.2亿元,同比增长28.7%。
2020年度证券行业全行业实现营业收入4398.15亿元,同比增长24.93%;实现净利润1707.78亿元,同比增长39.20%。全行业信息技术投入金额262.87亿元。
2019年全行业实现营业收入3520.44亿元;行业实现净利润1137.12亿元,全行业信息技术投入金额205.01亿元。
也就是说,2019年~2020年,证券行业合计实现营业收入12942.69亿元,实现净利润4756.09亿元,合计信息技术投入金额806.08亿元,占营业收入比重为6.23%、占净利润比重为16.95%,均超过了中证协划定的下限。
如果按照“有条件的公司2023~2025三个年度信息科技投入平均金额不少于上述三个年度平均净利润的8%或平均营业收入的6%”来估算,那么未来三年,全行业证券公司还将至少投入信息技术成本380.49亿元~776.56亿元。
值得一提的是,近年来,证券行业加大信息技术投入,除了开展业务需求,也受到监管鼓励——根据最新证券公司分类评价加分要求,证券公司信息技术投入金额位于行业平均数以上,且投入金额占营业收入的比例位于行业前5名、前10名、前20名的,分别加2分、1分、0.5分。
中证协数据显示,2021年,共有10家券商信息技术投入超过10亿元,分别是华泰证券(23.38亿元)、中金公司(18.56亿元)、中信证券(17.36亿元)、国泰君安(15.35亿元)、招商证券(12.78亿元)、海通证券(12.09亿元)、中信建投(11.64亿元)、广发证券(10.74亿元)、银河证券(10.69亿元)和平安证券(10.11亿元)等。
而按照信息技术投入占营业收入比例排名来看,2021年只有20家券商信息技术投入占营业收入比重超过6%,部分头部券商也未达到占营业收入比例6%的标准。
华林证券以25.17%的比例、华鑫证券以24.33%的比例分列“信息技术投入占营业收入比例”榜单前两位。东方财富、中金公司、平安证券、华泰证券、中泰证券等5家券商,IT投入占营收的比重也都超过了10%。
但海通证券、国信证券、广发证券、中信建投、光大证券、中信证券、申万宏源的占比均不足6%,落入了5%~6%区间。
因此,中金计算机团队在点评时特别提到,部分头部券商,如中信证券、国泰君安按照2021年收入体量计算IT投入占比均不足6%。“我们认为,本次政策对行业结构性IT投入,特别是收入高基数的龙头券商也有明显的推动作用”。
值得一提的是,《每日经济新闻》获悉,除了上述文件外,中证协近期还下发了《中国证券业协会信息科技类团体标准规划(2022-2025)》征求意见稿,旨在“以组织制定证券业信息科技类团体标准并推动标准应用落地为主要目标,引导和规范证券行业开展信息科技类团体标准化工作。”
该文规划起草单位为中国证券业协会、国泰君安证券股份有限公司。其中要求,证券业信息科技类团体标准的制定过程中,各相关实施单位、支持单位、服务单位、产品供应商、软件开发商、系统集成商等,应充分理解本规划,参照本规划制定的标准体系,结合证券行业标准化现状及标准实际应用情况,有计划地推进团体标准制定与应用工作。标准制定中应坚持三项原则:
一是坚持统筹规划,科学分类原则。团体标准和行业标准在整体规范方向上一脉相承,但是具有针对性强、灵活性高等特点,重点围绕数据治理、技术应用和科技创新等方向,直面行业痛点难点,同时充分调研行业共性需求,防止标准内部冲突,形成科学规划,避免工作精力浪费。
二是坚持需求导向,重点聚焦原则。团体标准制定与应用以实际需求为导向,结合业务场景和技术发展趋势,优先推动研制可行性高、紧迫性高的团体标准。团体标准选题小,针对性强,编制周期短,能够快速捕捉行业需求,具有很高的灵活性。从上述特点出发,在与上述规则不产生冲突的前提下,一方面坚守标准化工作基本原理、方法和程序的底线,另一方面通过放宽评议形式、设立快速通道等方式,提升团体标准工作的效率。
三是坚持质量效益,落地应用原则。团体标准是自愿性推荐标准,具有鲜明的行业特色,精准服务证券行业科技创新。同时协会将对标准质量进行严格把关,从科学性、前瞻性、可落地性等综合考虑,达到相对于行业标准更细化、更容易落地,相对于企业标准范围更大,实用性更广等作用,从而更好的构建行业标准、团体标准和企业标准协调发展的多层次新型标准体系。
每日经济新闻