中国证券报·中证金牛座记者12月29日从券商人士处独家获悉，监管部门近期在行业内通报了2025年证券期货业经营机构网络和信息安全现场检查结果。据悉，2025年8月至9月，监管部门开展了行业网络和信息安全专项检查工作。检查发现，部分证券期货经营机构在制度体系建设、信息系统安全保障、应急管理以及数据安全防护等多个方面存在薄弱环节，需要行业各方持续关注并协同改进。

券商人士告诉记者，根据监管部门近期的通报，此次网络和信息安全专项检查露出部分机构网络信息安全工作的基础仍不牢固。首要问题集中于制度体系与治理层面。通报指出，部分机构制度建设和落实有待进一步规范，具体包括网络安全相关制度修订不及时、引用过期法规条文、制度文件中存在错误表述、制度执行不到位等。

在信息技术治理层面，通报指出，部分机构“网络和信息安全第一责任人和直接责任人不明确”，这意味着在关键时刻可能无人负责。同时，公司党委会审议网络信息安全议题履职不到位、议事记录缺失，以及信息技术治理委员会作用发挥不明显、信息技术部门负责人空缺、人员网络安全培训覆盖不全面等情况，反映出网络安全在部分机构的决策层面未能获得应有的重视，治理架构存在虚化风险。此外，部门机构与第三方的网络安全责任有待进一步明确，包括未明确第三方供应商的网络安全责任、外包人员管理不规范等。

在具体的技术与实践层面，部分机构信息系统安全保障措施被指“有待进一步加强”。例如，在重要信息系统测试环节，从专项测试管理制度缺失到测试环境与生产环境不一致，到测试覆盖范围不全面、测试流程不规范，再到测试报告不完善、测试资料归档不完整，整个链条均存在薄弱点。

尤为值得关注的是运维管理的粗放。通报用大量细节描述了部分机构存在的问题：漏洞修复处置时间长、漏洞研判修复台账不完善；系统运维记录和日志保存不合规；网络资产记录要素不全、未建立专项终端安全管理制度对办公设备实施有效安全管控，甚至部分移动及便携式办公设备未纳入资产管理范畴，冗余备份设备超期服役；系统变更流程不规范、系统权限管理机制不健全等。这些问题共同指向部分机构在日常运维环节的规范性和严谨性不足。

一些机构的安全防护措施亦显薄弱。通报称，未采用双因子身份认证、远程登录管控弱、密码设置简单、未更改默认配置、防护覆盖不全、后台审计功能缺失等问题较为普遍。在业务连续性方面，一些机构存在缺乏同城或异地灾备、备份系统切换演练不到位、备用线路性能差等问题，也反映出部分机构重要信息系统业务连续性保障有待加强。

检查还发现，部分机构应急管理水平有待进一步提升。应急预案更新不及时、操作性不足、未覆盖分支机构、演练场景单一、部门间联动不足等问题突出，表明一旦发生真实的网络安全事件，这些机构能否有效、快速响应仍存疑问。

现场检查还发现部分机构的数据安全防护水平有待提高。具体表现为数据安全负责人不明确、缺乏专项制度与报告机制、数据分级分类标准不完善、重要数据风险评估不足，重要数据跨境流动安全评估机制不完善，乃至未制定数据安全事件应急预案等。这些缺失使得海量的投资者个人信息和重要经营数据面临潜在风险。

此外，通报还揭示了一些随着业务发展而产生的新问题。在移动应用软件方面，用户隐私政策与实际不符、未公示投诉渠道、向第三方共享信息清单不准确等问题，直接关系到投资者权益保护。公共平台信息发布流程不规范，则可能引发操作风险与声誉风险。

根据监管部门要求，下一步，证券期货业经营机构应进一步落实网络和信息安全主体责任，提高政治站位，并结合本机构实际，举一反三对照自查，建立问题台账，切实保证问题整改到位。同时，各机构还需围绕运行安全、网络安全、数据安全等重点工作，建立健全做好网络和信息安全工作的长效机制。

在业内人士看来，在数字化程度日益加深的今天，网络安全就是金融安全的基石。检查所暴露出的问题，不仅是个别机构的个案，更是行业需要共同面对的系统性挑战。如何将制度从“纸上”落到“地上”，如何让技术防护与运维管理真正精细化和常态化，将是所有市场参与者在未来一段时间内的“必答题”。