财联社2月3日讯（记者 林坚）三年前，证券业全面启动网络和信息安全三年提升计划（2023—2025），一度加速券商数字化转型进程，2023年也被视为券业IT大变革开启的元年。记者最新获悉，中证协开始调研计划的实施成效，对券商列出了71个关注项，行业迎来收官“质检”。

财联社曾在2023年6月首发过《提升计划》的全内容，详见《券业IT迎大变革一年！鼓励以分布式、云原生等对信息系统架构升级，鼓励有条件券商合作研发或自主研发》，《提升计划》的总体目标是通过组织引导券商积极落实各项行动举措，促进证券行业网络和信息安全建设取得扎实成效。

这场覆盖全行业的安全“大考”，究竟在检验什么？券商们的答卷又呈现出怎样的特点？记者进行了最新梳理，这71问包括55项必做任务+16项鼓励任务，不仅是对券商网络和信息安全三年的阶段性总结，更是对行业未来安全建设的指引。有券商表示，《提升计划》的完善将推动券商进一步夯实信息安全基础，提升风险防控能力，为资本市场稳定运行提供坚实保障。

值得一提的是，随着这次调研深入，鉴于这是证券业第一个IT领域三年提升计划，行业也关注后续是否有更丰富的内容，不少IT人士也谈到了比如大模型应用情况等观察视角。他们也期待，下一阶段提升计划会有更多优化。比如更关注“投入效率”，比如投入是否精准覆盖业务风险点、团队是否具备应急响应能力、数据安全是否形成闭环管理。

在他们看来，这种“效果导向“的监管思路，有助于引导券商避开“盲目投入”的误区，聚焦自身业务的核心风险。

技术架构转型、分布式与云原生成关注项

这次调研从科技治理、科技投入、系统架构、安全防护、应急响应、合规监管等多个维度，全面审视了券商信息安全建设的成效与不足。整体采用分类考核模式，将71项任务划分为"工作任务"与"鼓励性任务"两类。其中55项为强制性工作任务，占比超七成，是券商必须完成的基础要求；16项为鼓励性任务，引导有条件的券商进一步提升安全水平。

图为这次调研的部分关注项，例如技术架构以及IT投入等等。

技术架构转型成为此次三年计划的核心关注点之一，从集中式专有技术架构向分布式、低时延、开放架构迁移，同步推进云原生技术应用与架构管控机制建设，构成了券商科技升级的主线。

调研明确将“推进技术架构转型”列为鼓励性任务，要求券商加强核心系统技术攻关，针对不同客户群体开展核心系统技术架构升级，聚焦“高可用、高性能、低时延、易扩展及松耦合”五大特性。

具体来看，转型路径清晰。监管层鼓励有条件的券商推进新一代核心系统建设，打破传统集中式架构的性能瓶颈。对于转型进度，调研明确关注“是否积极从集中式专有技术架构向分布式、低时延、开放技术架构转型”，直接将架构转型成效纳入评估范畴。

低时延特性的强调，与证券行业交易场景高度相关。无论是股票交易还是衍生品业务，毫秒级的时延差异都可能影响交易效率与客户体验，这也使得分布式架构的“低时延”特性成为转型核心诉求之一。调研中多次提及的“易扩展”特性，则指向券商应对业务峰值的需求，如行情波动时的交易流量激增，分布式架构可通过弹性扩容快速响应。

云平台建设是技术架构转型的另一重要抓手。调研显示，监管层鼓励券商利用分布式、云原生等先进技术对信息系统进行架构升级，提升系统健壮性与扩展性，同时加快信息系统在私有云与行业云的部署进程。

对于云部署的风险控制，这次调研特别提及“是否制定相应的风险应急预案，控制系统建设风险”，同时关注“现有信息系统在私有云与行业云的部署比例”。这意味着券商云化进程需在“提速”与“安全”之间寻找平衡，不能单纯追求部署比例，还要配套风险防控机制。

云原生技术的应用场景进一步细化。中证协在“做好安全全局性建设”任务中提到，需针对云计算、云原生、敏捷研发交付流水线等信息技术架构变革，加强安全体系的“同步规划、同步建设、同步运营”。这一要求将云原生技术与安全建设绑定，避免技术升级与安全防护出现脱节。

明确IT投入、人才配置量化指标

此次调研继续明确两大核心量化指标，为券商科技投入和人才配置提供清晰指引。

资金投入方面，设置双重考核标准，一是2023-2025三个年度的信息科技投入平均金额，需不少于同期平均净利润的10%；二是同期信息科技投入平均金额，需不少于平均营业收入的7%。两项标准并行，确保券商科技投入规模与经营业绩相匹配。

在科技投入这一硬性指标上，头部券商已率先达标。

据记者了解，中信证券、国泰君安等头部机构2023-2024年信息科技投入占营收比例均稳定在8%以上，远超“平均营收7%”的要求；部分券商甚至将安全投入单独列支，占科技总投入的比例达25%，重点投向零信任架构、AI安全检测等前沿领域。

中小券商则面临“投入两难”，某中部地区券商IT负责人此前坦言，“公司净利润规模有限，若按‘净利润10%’投入科技，会挤压经纪、投行等核心业务的资源，只能优先保障合规必需的安全项目”。

不过也要看到，随着部分头部经营机构信息技术投入进入提质增效阶段以及多家中小经营机构数字化转型工作提速，投入排名接近的经营机构在投入金额上的差距有所减少。行业整体的信息技术建设的扩张工作基本完成，技术投入的波动情况趋于稳定，数字化转型工作进入“精耕细作”的提质增效阶段。

人才配置上，调研提出专业人员比例要求。鼓励有条件的券商将信息科技专业人员比例提升至企业员工总数的7%；信息安全专业人员比例需达到信息科技专业人员总数的3%，且绝对数量不少于2人。同时要求券商提供当前信息科技专业人员总数及信息安全专业人员总数，便于精准评估。

人才配置的差距已在过去三年中有所拉大。评估要求的“信息科技人员占比7%、安全人员占科技人员3%且不少于2人”，对头部券商而言已是“基础配置”；而中小券商的科技人员占比普遍在3%-5%之间，部分小型券商的安全团队甚至只有1-2人，只能承担“日常巡检、漏洞修复”等基础工作，无力应对复杂的供应链风险、数据治理等问题。

需要看到，中小券商的投入受限于盈利规模，导致其科技投入能力天然会弱一些。

数据安全成“共性进步点”

结合财联社调研，数据安全成为过去三年行业的“共性进步点”。这次调研也提到了数据安全这一重点内容，明确要求券商建立长期有效的企业级数据规划和发展战略，加强数据架构体系治理。针对数据出境场景，专门设置评估项，询问是否存在数据出境情况，若有则需开展数据出境安全评估，符合《数据安全法》等监管要求。

受《个人信息保护法》等法规驱动，无论是头部还是中小券商，均完成了客户数据的分类分级工作。有券商提供了一组数据称，90%以上机构实现了“客户身份证号、银行卡信息”等敏感数据的脱敏存储。有华北地区中小券商合规负责人告诉记者，“数据安全是监管检查的重点，即使投入有限，也会优先保障客户信息安全，这是行业的共识底线”。