非银金融行业金融科技产业链跟踪四：《证券公司网络和信息安全三年提升计划(2023-2025)》发布利好证券IT产业链

请务必阅读正文之后的信息披露和重要声明 行业 研 究 行业点评 报告 证券研究报告 ＃industryId＃ 非银金融 ＃investSuggestion＃ 推荐 ( ＃investSuggestionChange＃ 维持 ） ＃relatedReport＃ 相关报告 《<网络和信息安全三年提升计划(2023-2025)>出台，证券行业持续加大技术投入》2023-01-11 ＃emailAuthor＃ 分析师： 徐一洲 S0190521060001 孙寅 S0190521060002 ＃assAuthor＃ 研究助理： 开妍 kaiyan@xyzq.com.cn 投资要点 ＃summary＃ ⚫ 事件：2023 年 6 月 9 日，中证协印发《证券公司网络和信息安全三年提升计划（2023-2025）》正式稿（后文简称《三年提升计划》），阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。 ⚫ 相较于征求意见稿，《三年提升计划》正式稿广泛听取行业意见，进行多处调整。总结来看，变动主要体现在以下几个方面：  鼓励证券行业继续加大信息技术方向投入水平。正式稿鼓励证券公司“在 2023-2025 三个年度信息科技平均投入金额不少于上述三个年度平均净利润的 10%或平均营业收入的 7%，并保持稳定的资金投入”。要求投入比例相比较于征求意见稿的“平均净利润的 8%或平均营业收入的6%”进一步提升，预计其为鼓励证券公司加大在新一代核心系统建设上的投入。此外，正式稿鼓励证券公司逐步提升信息科技专业人员比例至企业员工总数的 7%，较征求意见稿 6%的要求有所提升。  放宽对细分领域的投入比重要求，给予行业公司在投入方向上更高的自由度，满足《三年提升计划》的差异性原则。如正式稿取消对于网络和信息安全投入占信息科技投入比重的具体要求；提高信息科技专业人员比例要求，但降低对信息安全细分方向人员的绝对数要求。  重点强调证券行业安全风险管控能力的加强。一方面，《三年提升计划》在“夯实系统运行保障能力”、“健全信息安全防护体系”方向上提出全面、细致的工作任务。另一方面，正式稿进一步提升对行业公司风险管理和运行保障的要求，如新增对于风险管理第三道防线的要求；提升对信息系统高可用性要求，要求从“数据中心内部单个组件发生故障时可实现秒级切换，并实现异地灾备部署，异地灾备可实现分钟级切换”提高至“数据中心内部单个物理设备故障不影响集群高可用，集群整体故障可实现秒级同城灾备切换或分钟级异地灾备切换”；新增加强对个人投资者信息安全管理、跨境相关数据安全管理相关要求。  根据行业发展实际情况不再保留部分鼓励性要求。考虑到行业公司目前技术发展情况与工作重点等问题，正式稿取消对于系统云化比例、信息系统自动化测试比例、信息系统自动化发布比例具体比重及建设统一的安全运营中心等要求，仅鼓励有条件的证券公司进行相关能力提升。 ⚫ 投资建议：《三年提升计划》鼓励证券行业继续加大 IT 投入水平、鼓励证券公司积极推进新一代核心系统建设，看好证券 IT 行业需求增长和技术更新换代带来的供应商业绩增量，建议关注证券 IT 产业链公司。 ⚫ 风险提示：市场大幅波动风险、市场竞争加剧风险、互联网系统数据安全风险 ＃title＃ 金融科技产业链跟踪四： 《证券公司网络和信息安全三年提升计划(2023-2025)》发布利好证券 IT 产业链 ＃createTime1＃ 2023 年 06 月 21 日 请务必阅读正文之后的信息披露和重要声明 - 2 - 行业点评报告 报告正文 事件 2023 年 6 月 9 日，中证协印发《证券公司网络和信息安全三年提升计划（2023-2025）》正式稿（后文简称《三年提升计划》），阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。 点评 《安全提升计划》围绕国家关于网络和信息安全的具体要求，明确了应当遵循的基本原则：一是稳健性原则，强化合规风控，严守风险底线；二是系统性原则，强化协同机制，整体规划；三是差异性原则，强化专业引领，因司制宜；四是创新性原则，强化创新驱动，科技赋能。聚焦提升行业科技治理和信息系统架构掌控能力，聚焦防范网络和信息安全风险，明确持续提升科技治理水平、建立科学合理的科技投入机制、增强信息系统架构规划掌控能力、强化系统研发测试管理能力、夯实系统运行保障能力、健全信息安全防护体系等六大类 31 项主要任务要求，形成 32 项具体任务清单。 表 1、《安全提升计划》明确了六大类 31 项主要任务要求 方向 任务 方向 任务 持续提升科技 治理水平 完善信息科技战略发展规划 夯实系统运行 保障能力 加强信息系统上下线管理 发挥科技治理组织作用 管控信息系统变更风险 推动信息科技管理体系建设 提升信息系统故障发现能力 健全信息科技风险管理三道防线 提高事件预警及处置效率 完善供应商管理机制 健全组织级应急响应管理机制 建立科学合理的 科技投入机制 加大科技资金投入 做好信息系统容量与性能管理 加强科技人才队伍建设 完善重要信息系统数据备份能力 增强信息系统架构规划掌控能力 建立及完善系统架构管理机制 健全信息安全 防护体系 落实等级保护定级和测评要求 建设及健全企业级应用架构 深化漏洞全生命周期管控 持续加强数据架构体系治理 提升安全攻击防控能力 多方位推进技术架构转型升级 加强网络安全态势感知和通报预警 持续提高核心系统自主掌控能力 完善移动客户端应用软件认证机制 强化系统研发测试管理能力 建立及完善需求设计及分析机制 加强数据安全管理体系建设 提升代码开发效率及安全 持续加强安全意识培训 制定并落实信息系统代码审计规范 做好安全全局性建设 加强信息系统测试质量管控 资料来源：中证协，兴业证券经济与金融研究院整理 相较于征求意见稿，《三年提升计划》正式稿广泛听取行业意见，进行多处调整。总结来看，变动主要体现在以下几个方面：  鼓励证券行业继续加大信息技术方向投入水平。正式稿鼓励证券公司“在 请务必阅读正文之后的信息披露和重要声明 - 3 - 行业点评报告 2023-2025 三个年度信息科技平均投入金额不少于上述三个年度平均净利润的 10%或平均营业收入的 7%，并保持稳定的资金投入”。要求投入比例相比较于征求意见稿的“平均净利润的 8%或平均营业收入的 6%”进一步提升，预计其为鼓励证券公司加大在新一代核心系统建设上的投入。此外，正式稿鼓励证券公司逐步提升信息科技专业人员比例至企业员工总数的 7%，较征求意见稿 6%的要求有所提升。  放宽对细分领域的投入比重要求，给予行业公司在投入方向上更高的自由度，满足《三年提升计划》的差异性原则。如正式稿取消对于网络和信息安全投入占信息科技投入比重的具体要求；提高信息科技专业人员比例要求，但降低对信息安全细分方向人员的绝对数要求。  重点强调证券行业安全风险管控能力的