(电子商务研究中心讯) 7月15日,中国银监会在其官网发布关于《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》公开征求意见的通知。
通知称,该意见稿编制的目的是“做好'十三五'时期银行业信息科技监管工作,督促指导银行业加强信息化建设”,该意见稿的截止反馈日期为今年8月20日,接受反馈的部门为信息科技监管部。
据零壹财经编辑统计,“互联网金融”在该意见稿正文中出现了15次,主要分布于与银行业信息科技“十三五”发展环境和落实“互联网+”行动计划、构建互联网金融生态圈相关的章节中。
具体来说:
在前言部分,银监会称,“在经济新常态的背景下,经济金融全球化趋势、综合化发展、市场化改革、互联网金融的蓬勃兴起对银行业带来诸多挑战和深远影响。依托科技创新,助推转型升级,是积极应对挑战的战略选择。”
在银行业信息科技“十三五”发展环境中,银监会意识到金融脱媒加剧,跨界融合和互联网金融的发展加速了银行变革转型,并表示科技已成为引领创新的关键引擎。
在第十一章“加强信息安全管理,全面提升网络和信息安全水平”中,银监会表示,会致力于“将大数据、云平台、互联网金融服务平台等纳入等级保护管理,建立信息安全等级保护工作考核评价,实现信息化建设与网络安全同步规划、同步实施、同步运行,持续健全银行业网络安全防护体系,保障和促进银行业健康有序发展。”
值得注意的是,银监会在该意见稿中多次提及要“构建银行业互联网金融生态”。而如何构建“互联网金融生态圈”?银监会认为应“协同创新,跨界构建”。
银监会表示,“依托银行业长期积累的风控、管理、数据和技术优势,积极适应互联网金融创新发展的趋势,加强跨界合作,促进金融互联网与互联网金融相互融合,互利共赢,是下一时期的发展重点。”
本月5日,工信部发布《关于印发促进中小企业发展规划(2016-2020年)的通知》,亦称要推动互联网金融发展。
以下附全文:
中国银行业信息科技"十三五"发展规划监管指导意见(征求意见稿)
目 录
前 言5
第一章 "十二五"银行业信息科技发展回顾8
第二章 银行业信息科技"十三五"发展环境13
第三章 指导思想、总体目标与指导原则16
第一节 指导思想16
第二节 总体目标16
第三节 指导原则18
第四章 全面提升信息科技治理现代化水平18
第一节 提升信息科技治理机制有效性,促进科技治理、风险管理与内部控制的相互融合19
第二节 优化信息科技组织架构,建立协同高效的管理体系19
第三节 创新科技人力资源管理模式,完善激励机制20
第四节 改进科技规划管理模式,持续优化和完善信息系统架构21
第五章 深化科技创新,落实"互联网+"行动计划21
第一节 加强顶层设计,全面实施科技创新战略22
第二节 服务实体经济,大力发展"互联网+普惠金融" 22
第三节 协同创新,跨界合作构建互联网金融生态圈23
第一节 制定大数据战略,夯实数据治理基础24
第二节 建立大数据服务体系,加强大数据应用25
第七章 稳步开展云计算应用,主动实施架构转型25
第一节 制定云计算架构规划,推进云计算应用26
第二节 建立银行业云计算标准体系,推动云计算科学发展26
第三节 建立行业云平台,提升金融技术公共服务能力27
第八章 增强应用体系支撑能力,助推银行业务转型发展27
第一节 推进核心应用转型,增强综合化和差异化服务能力28
第二节 完善企业级客户信息系统,强化客户为中心的价值创造28
第三节 适应大资管发展,支持多元化、一体化金融服务29
第四节 优化流程银行,构建现代化运营体系29
第五节 增强应用体系的拓展性,支撑银行国际化战略30
第九章 构建绿色高效的数据中心,打造智能化运维体系31
第一节 构建高效数据中心,提升数据中心管理能力成熟度31
第二节 大力推进绿色节能技术,提高能效产出32
第三节 提高运维自动化水平,打造智能化运维体系32
第十章 健全产品研发管理机制,全面提升质量与效率33
第一节 积极推进应用架构转型,加强应用架构管控33
第二节 进一步完善研发管理体系,提升产品研发质效33
第三节 探索建立快速研发机制,支撑产品持续创新34
第十一章 加强信息安全管理,全面提升网络和信息安全水平35
第一节 深入贯彻落实国家信息安全等级保护制度,健全完善银行业网络安全防护体系35
第二节 强化关键信息基础设施的安全防护,提高重大网络安全威胁应对能力36
第三节 增强研发运维安全管控,实现系统全生命周期安全管理36
第四节 推进信息资产分类分级管理,加大敏感信息保护力度37
第五节 落实国家网络安全政策,建立长效机制37
第十二章 提升信息科技风险管理水平,加强业务连续性管理能力38
第一节 夯实管理基础,丰富信息科技风险管理手段38
第二节 健全信息科技外包管理机制,提升外包风险管控水平39
第三节 优化业务连续性管理体系,增强业务持续运营管理能力40
第十三章 推进信息科技开放协作41
第一节 建立行业科技资源与成果共享机制,发挥科技整体合力41
第二节 建立银行业科技协作机制,提升科技风险整体防控能力42
第三节 开展联合创新,积极推进新技术在银行业应用42
第十四章 保障措施43
第一节 加强组织领导43
第二节 加强资源保障43
第三节 加强评价考核43
第四节 加强监管指导44
前 言
"十二五"期间,中国银行业奋发图强、大力革新,经受了后金融危机时代的一系列考验,整体发展平稳健康。其中,信息科技发挥了关键作用。五年来,中国银行业审时度势、积极作为,坚持基础建设与科技创新并重、提升服务与保障安全并举的发展导向,依托信息化调整经营理念、优化经营机制、完善服务模式,推动银行业进一步提升核心竞争力、市场适应力和贴身服务能力,构建了基本完善的信息科技治理体系,普遍完成了"以客户为中心"的新一代银行系统升级换代,初步建立了成型的信息科技风险管理"三道防线",信息化建设能力不断提升,为更好地服务实体经济、支持小微企业和服务"三农"、发展普惠金融提供了源源不断的动力,较好地完成了银行业信息科技"十二五"发展规划确立的主要目标和重点任务。
"十三五"时期是全面建成小康社会、实现第一个百年奋斗目标的决胜阶段,是我国全面深化改革、加快经济发展方式转变的关键历史时期。十八届五中全会确立的创新、协调、绿色、开放、共享五大发展理念,是"十三五"乃至更长时期我国发展思路、发展方向、发展着力点的集中体现,对银行业破解发展难题、增强发展动力、厚植发展优势具有重大指导意义。在经济新常态的背景下,经济金融全球化趋势、综合化发展、市场化改革、互联网金融的蓬勃兴起对银行业带来诸多挑战和深远影响。依托科技创新,助推转型升级,是积极应对挑战的战略选择。
《中华人民共和国国民经济和社会发展第十三个五年规划纲要》明确提出要实施创新驱动发展战略,强化科技创新引领作用。信息科技作为银行业金融机构的核心竞争力,在未来五年担负着增强创新能力,加强引领作用,提高发展质量,助推转型升级的重要使命。但是,当前银行业信息化建设和风险管理能力与进一步深化改革、创新发展、转型升级还存在一些不适应、不匹配的问题,亟需在"十三五"期间加大改进力度。主要表现在:信息科技治理体系的有效性还需进一步增强,信息科技风险管理能力仍有较大提升空间,数据的管理和服务能力还有待提升,支撑创新的文化和土壤还需进一步培育。
为深入贯彻落实国家"十三五"规划纲要,做好银行业信息科技监管工作,督促指导银行业加强信息化建设,银监会组织行业力量积极开展了银行业信息科技"十三五"发展规划的编制工作,组建了总体组、工作组,广泛吸收银行业金融机构、产业界及监管机构专家及业务骨干参与编写工作,成立了"国有股份制大中型银行机构"、"城商行"和"农村中小金融机构"三个专题组,深入开展调研走访,研究起草规划初稿,经反复修改完善形成《中国银行业信息科技"十三五"发展规划监管指导意见》(简称《指导意见》)。
《指导意见》分为十四章:前三章回顾"十二五"时期银行业信息科技发展成绩,分析"十三五"时期银行业面临的机遇和挑战,提出了"十三五"总体目标、指导思想和指导原则。第四章至第十三章从提升信息科技治理水平,深化科技创新,推进互联网、大数据、云计算新技术应用,增强应用体系支撑能力,构建绿色高效数据中心,健全产品研发管理机制,加强信息安全管理,提升信息科技风险管理水平,推进科技开发协作等方面提出了重点工作任务。第十四章提出了保障措施。
规划实施时间为2016年至2020年。
第一章 "十二五"银行业信息科技发展回顾
"十二五"期间,中国银行业坚持数量与质量并重、基础建设与科技创新并行、提升服务与保障安全并举的发展理念,大力推进信息化建设,不断夯实网络安全基础,建立健全信息科技风险管理体系,加快开展科技创新,信息科技有力地支持了银行业务的跨越式发展。
--构建了基本完善的信息科技治理体系,治理能力建设取得长足进步。"十二五"期间,银行业金融机构以信息科技治理能力现代化为目标,持续推进信息科技治理体系建设,积极推行首席信息官制度,截至"十二五"末,银监会信息科技监管重点关注的245家主要银行业金融机构中(简称主要银行机构),有116家设立了首席信息官,占比达到47.4%,97.6%的机构设立了信息科技管理委员会,95.5%的机构制定了信息科技战略规划,信息科技参与决策的层面逐步提升,与业务的协同效应进一步增强。信息科技组织体系不断优化,设立了覆盖信息科技管理、需求、开发、测试、运行维护、信息安全等职能的信息科技组织架构,信息科技组织架构设置趋于优化。信息科技投入增长显著,"十二五"末期年度科技投入达到1135.73亿元,比"十二五"初期增长124.7%。信息科技人力资源稳步增加,信息科技人员78278人,比"十二五"初期增长41.3%,科技人员占比平均达到2.28%,比"十二五"初期增长0.22个百分点。同时,信息科技科技制度体系更加规范,架构管控水平不断提高。
--信息科技基础设施日臻完善,"以客户为中心"的新一代银行系统初步建成。截至"十二五"末期,主要银行机构共建设有660个数据中心或中心机房,比"十二五"初期增长36%,并通过"双活"、"多活"等模式进一步提升了数据中心的效用。全面升级改造新一代核心银行系统,基本实现了从"以账户为中心"向"以客户为中心"的转变,支持更加灵活的业务流程设计,提升业务运营能力,"十二五"末期,核心业务系统日均交易笔数平均为594.7万笔,比"十二五"初期增长198%。紧紧抓住移动互联网发展机遇,大力开展新兴电子渠道建设,形成了覆盖银行网点、手机银行、网上银行、电话银行、短信银行等立体式的服务渠道,持续增强服务能力,不断改善客户体验;整合境外核心系统建设,支持多时区、多语言、多币种及国外特色业务规则的处理需求,统筹规划集团综合化信息系统建设,支撑商业银行向国际化、综合化金融集团公司转型。
--信息科技风险管理"三道防线"进一步完善,业务连续性体系建设成效显著。"十二五"期间,银行业金融机构对信息科技风险管理的重视程度不断提高,全面加强了信息科技管理、风险管理、审计"三道防线"建设。从信息科技管理第一道防线源头抓起,基础管理日臻完善,信息安全从传统的边界防护发展到层次化、立体化的纵深防御体系,安全开发的理念深入人心,研发和投产变更的流程更加严密和完善,智能化、一体化运维进一步提升了风险的识别、预警和早期干预能力。信息科技风险管理第二道防线建设稳步推进,有96.3%的机构设立或指定了信息科技风险管理部门或组织,85.7%的机构设立了信息科技风险管理专职岗位,主要银行机构信息科技风险管理专职人员平均达到3.3人,大中型银行平均达到21人,信息科技风险评估工作逐渐常态化,信息科技风险监测机制进一步完善。信息科技审计第三道防线趋于健全,已基本设立了信息科技内审部门或组织,主要银行机构信息科技内审人员数量平均达到4.1人,大中型银行平均达到25.6人,信息科技审计覆盖面不断扩大,董事会对信息科技审计的认知程度不断提升。在《商业银行业务连续性监管指引》的推动下,建立业务连续性管理组织体系,建立健全并不断优化应对突发事件的应急预案和处置机制,加强应急演练,提高应急协同处理能力,加大灾备资源建设力度,重要信息系统基本实现灾备全覆盖,业务连续性管理能力稳步提升。
--信息科技外包管理水平持续提高,外包风险管控机制不断完善。"十二五"期间,银行业深入落实《商业银行信息科技外包监管指引》要求,建立健全信息科技外包战略,明确董事会与高级管理层的管理职责,完善信息科技外包管理制度、流程及风险控制机制,持续增强外包服务活动全过程的风险管理能力。建立银行业科技外包合作组织,引导外包服务机构实现自我约束和自我完善,建立银行业外包联合监管平台,推动银行业信息科技外包服务市场的规范化和行业自律,建立非驻场集中式外包管理工作机制,防范并化解系统性外包风险。
--自觉提升信息化建设的自主掌控能力,稳步推进信息化架构转型。"十二五"期间,主要银行机构普遍加强了信息科技战略规划,深入开展信息科技核心能力建设,截至"十二五"末期,已有95.51%的机构制定了信息科技战略规划,87.3%的机构建立了信息科技战略规划的定期评价机制,提升了对信息科技发展目标、策略、路线和架构的掌控能力。在开发运维方面,核心系统的自主开发比例已达到16%,自有产权基础设施占比58.3%,核心系统自有和共有知识产权的比例达到89.38%,重要信息系统自主运维比例平均达到80.89%。加大力度推进架构转型,积极使用能够保障信息安全、风险可控的信息技术,构建开放、弹性、安全、高效的信息系统,不断降低外包和供应链集中度风险,同时,积极强化人才队伍建设,积极掌握信息化核心知识,不断提升信息化工作的层次和水平。
-- "科技创新"理念深入人心,助推核心竞争能力提升。"十二五"期间,以移动互联网、云计算、大数据等为代表的新兴信息技术与银行业务加速融合,大中型银行积极探索开展新兴技术前瞻性应用研究,大力推动科技创新,在渠道、产品和服务等方面推陈出新。银行业电子渠道保持高速增长,"十二五"末期,主要银行机构的网上银行、手机银行账户数已达21.6亿户,主要电子交易笔数替代率平均达到72.1%,其中,手机银行发展迅速,5年来主要电子交易中手机银行的交易占比增长了近43倍,ATM、POS交易也同时保持了较高的增长速度。与互联网企业开展充分合作,为公众提供了日益丰富多样、安全便捷的金融服务。运用现代信息技术创新业务模式、创新服务流程、创新信用管理,通过直销银行、社区银行、移动银行、乡村金融服务终端等新模式更加贴近公众,服务民生,不断加大基础金融服务的覆盖面,积极运用大数据客户画像、小微信用模型、线上线下联动等方式,提升银行金融服务的便利性,为更好地服务实体经济、支持小微信贷、支持"三农"、发展普惠金融提供了源源不断的动力。
在肯定成绩的同时,也要看到,银行业信息化建设和风险管理能力与进一步创新发展、深化改革、转型升级还存在一些不适应、不匹配的问题,有些已经触及到当前银行业发展的深层次问题,亟需在"十三五"期间取得切实进展:
--信息科技治理体系的有效性还不充分。治理体系的自我完善机制还不健全,不能快速适应经济形势和技术环境的变化。业务战略与科技战略联动不足,业务部门与科技部门的协调互动还不够顺畅。对信息科技的认识和重视还不充分,对信息科技部门的定位仍不清晰,科技人员的职业生涯、绩效薪酬与他们所发挥的作用、价值和贡献度还不匹配。
--信息科技风险管理能力仍有较大提升空间。信息科技风险评估仍然缺乏系统性的方法和工具,评估结果不完备的情况还比较普遍,风险监测的动态性、及时性有待提高。第一道防线和第二道防线的界面不够清晰,重叠和缺位的现象同时存在。科技风险的计量、科技风险与资本管理的联动机制仍然需要进一步探索。
--数据的管理和服务能力还比较欠缺。数据标准的形成和维护机制还不够完善,数据标准的应用还不到位。数据价值挖掘不充分,数据服务的机制、方式方法与业务发展和创新的需要还不够匹配。内部、同业和跨业的信息共享机制亟需建立。
--支撑科技创新的文化和土壤还不够踏实。对科技创新的认识和重视程度有待提高,运用科技创新的主动性还不足。固守成规,还缺乏有利于科技创新的激励机制。人才储备不足,人才结构有待优化,有利于科技创新的人才招募和培育机制还不完善。
第二章 银行业信息科技"十三五"发展环境
"十三五"时期是我国全面深化改革、加快经济发展方式转变的关键历史时期。经济步入新常态背景下,我国发展仍处于可以大有作为的重要战略机遇期,也面临诸多矛盾叠加、风险隐患增多的严峻挑战,银行业经营环境更加复杂。与此同时,新一轮科技革命蓄势待发,以互联网、大数据、云计算等为代表的新兴技术与传统金融加速融合,既为银行业改革发展转型带来了新的动力,也对银行业的传统优势领域形成一定压力,信息科技成为银行业金融机构抵御风险和增强竞争力的关键。
--经济步入新常态,金融服务亟须转型升级。新常态下,经济处于提质增效、转型升级的换挡期,增速放缓、产业结构调整既给银行经营带来一定压力,也带来了新的机遇,把握换挡节奏,更好地服务实体经济,激发小微企业活力,促进普惠金融发展,需要强有力的信息科技支撑决策、管理、运营和创新。此外,随着自贸区、"一带一路"发展战略的推进,银行业在扩大融资规模,支持"走出去"企业的境外结算、融资、担保、风险管理,以及与沿线国家金融同业建立汇兑、结算、融资、支付的合作等不同领域,亟须金融服务全面升级,对银行信息科技工作提出了更高的要求。牢牢把握经济新常态下的机遇,需要进一步加大业务与信息科技的协同发展,依托科技创新深化产品创新、流程创新和管理创新,积极促进业务发展转型。
--利率市场化、人民币国际化、混业经营进程加速,银行业务转型与产品升级提速。在利率市场化、人民币国际化、混业经营进程加速的背景下,金融市场更加复杂,银行业面临着业务转型与产品创新的挑战和发展契机。随着利率市场化不断深入,利差大幅降低,同业竞争进一步加剧,对银行特色化、差异化、精细化的经营管理能力提出了更高的要求,亟须银行提升科技支撑和科技创新能力。人民币国际化对人民币跨境贸易与投融资产品、外汇交易产品与人民币跨境现金管理产品、离岸人民币市场建设、人民币直接交易品种的需求都对银行信息科技提出了新的要求。此外,随着混业经营的快速发展,业务模式和风险都比以往更加复杂,包括银行在内的市场参与者需要信息科技支撑更加多样化、综合化的金融业务,监管者也需要信息科技支撑获取完整、及时、准确、一致的风险信息,统筹做好宏观审慎和微观审慎监管工作。
--金融脱媒加剧,跨界融合和互联网金融的发展加速银行变革转型。互联网企业、第三方支付机构、电信运营商、电商企业和银行卡组织等机构借助互联网渠道和客户群体优势,从各自擅长的支付网关、手机支付、供应链服务、资金清算等领域向传统的银行业务全面切入,金融竞争主体呈多元化态势,同时,客户的金融行为逐渐网络化,金融消费习惯也在发生变化,银行的传统中介作用逐步减弱,"金融脱媒"加剧,对银行机构的传统优势形成严峻挑战,也带来业务创新发展的新机遇。依托银行业长期积累的风控、管理、数据和技术优势,积极适应互联网金融创新发展的趋势,加强跨界合作,促进金融互联网与互联网金融相互融合,互利共赢,是下一时期的发展重点。
--新技术与金融业务深度融合带来新的机遇和挑战。以互联网、云计算、大数据等为代表的新兴信息技术与金融业务深度融合,市场需求的复杂多变对银行数据治理、系统架构、风险管控、基础设施建设、系统开发、运行维护等领域均提出新的要求。加大对新兴技术的探索研究,积极推进新兴技术成果应用,提升银行综合技术实力和科技创新能力,发挥数据价值,优化客户体验,增加客户黏性,成为"十三五"时期银行信息科技工作面临的重要课题。
--网络和信息安全形势更加严峻。银行业面临着更加复杂的网络和信息安全威胁,常规攻击不断衍变,分布式拒绝服务(DDoS)、高级持续威胁(APT)等攻击手段花样翻新,钓鱼、伪基站等欺诈手段对客户信息安全和资金安全的威胁进一步加大,新技术迅速应用带来的潜在风险隐患也不容忽视。信息科技风险的传导性进一步加强,个人信息的全面互联网化、移动化使得第三方机构的信息科技风险向银行传导的机率大幅度提高。同时,银行业信息科技关键基础设施的集中度高、依赖性强,关键基础设施的外包风险、供应链风险尚未得到有效缓解。
第三章 指导思想、总体目标与指导原则
第一节 指导思想
高举中国特色社会主义伟大旗帜,全面贯彻党的十八大和十八届三中、四中、五中全会精神,深入贯彻习近平总书记系列重要讲话精神,坚决按照党中央、国务院关于经济金融改革发展和网络安全的决策部署,秉承创新、协调、绿色、开放、共享五大发展理念,深入落实创新驱动发展战略,加强科技引领,主动实施转型,优化银行业信息科技发展模式,促进现代信息科技与银行业的深度融合,为银行业促进实体经济发展、支持小微企业和"三农"、服务公众奠定坚实的科技基础并提供强大的发展引擎。
第二节 总体目标
全面推进银行业信息化发展提质增效,积极面对新兴技术带来的机遇与挑战,主动开展架构转型,建立开放、弹性、高效、安全的新一代银行系统,深化信息科技治理成效,完善科技研发运维体系,强化信息安全和风险管理,以信息科技引领创新发展、转型升级,提升支持实体经济发展能力,促进普惠金融大发展,为社会和公众提供更加丰富、安全和便捷的金融服务。到"十三五"末期,银行业信息化建设的主要目标是:
--信息科技治理有效性明显提升。建立信息科技治理机制的评价和持续改进机制,首席信息官进入决策层,信息科技的组织、制度、流程和人力资源建设机制得到有效优化,科技与业务建立成熟的伙伴关系,形成良性互动的协同效应,科技队伍的生产力和创造力大幅度提升,优化数据治理、提升数据服务、发挥数据价值。
--信息科技服务能力持续提升。构建绿色数据中心,推进运维自动化和智能化,提升数据中心运营管理能力成熟度,实现基础架构转型升级,提升信息技术架构管控能力,建立适应互联网业务场景的软件开发过程体系,开放公共金融服务接口,促进互联互通。
--科技成为引领创新的关键引擎。将科技创新纳入总体战略,建立科技人员内部创新创业机制,建立与科技创新相适应的人才遴选和培养激励机制,大力推进"互联网+"、大数据等国家战略落地,构建银行业互联网金融生态,建立银行间和跨行业的联合创新、协同创新机制和资源共享机制,全面激发科技创新活力,以创新提升信息化共享和集约水平。
--网络和信息安全管控能力显著增强。积极落实《国家网络空间安全战略》,实现关键基础设施基本安全、风险可控,健全客户信息保护机制,建立全方位的安全态势感知和防范应对机制,建立银行间网络安全协同防护机制,新兴技术的安全风险得到有效管控。
--信息科技风险管理"三道防线"协同水平持续提高。进一步明晰并落实"三道防线"的协同机制,构建开发、运维、安全、风险管理一体化运营平台,规范信息科技风险评估工作,建立信息科技内部控制成熟度评价机制,完善外包风险管理体系,夯实业务连续性管理,增加信息科技审计人力资源,提升信息科技审计能力。
第三节 指导原则
--坚持创新驱动、科技引领。将创新贯穿银行业信息化工作始终,建设创新型信息科技团队,创新科技工作思路,充分发挥科技对创新的引领作用,切实加强新兴技术与银行业务的融合,鼓励开展前沿性创新研究和技术创新应用,持续推进银行业务创新发展,推进银行战略性转型升级。
--坚持安全导向、风险可控。严守信息安全底线,坚持风险为本的理念,夯实信息科技风险管理基础,优化信息科技风险管理体系,牢固树立安全意识,持续增强能力建设,全面提升信息科技竞争力。
--坚持开放协同、合作共享。树立优势互补、互利共赢的开放思维,加强资源共享和协同协作,积极推进银行机构间、银行与非银行机构间的合作,共同推动银行信息科技发展。
第四章 全面提升信息科技治理现代化水平
"十三五"期间,银行业金融机构要持续深化信息科技治理机制建设,健全信息科技管理体系,加强信息科技队伍建设,健全有利于科技创新的体制机制,提升科技建设与创新能力,不断提升信息科技治理现代化水平。
第一节 提升信息科技治理机制有效性,促进科技治理、风险管理与内部控制的相互融合
董事会、高管层要充分认识信息科技在总体战略和科学决策中的重要性,完善首席信息官制度,推动首席信息官进入决策层,提升决策质量。理顺董事会、高管层、信息科技相关专业委员会、业务部门、信息科技部门之间的权责关系,促进相关专业委员会切实发挥作用,推动业务部门与科技部门建立密切协同、良性互动的成熟合作伙伴关系。增加信息科技工作透明度,建立信息科技价值评估体系,推动实施内部成本核算、成本分摊与内部服务定价机制,尝试信息科技公司化运作。保障科技投入,合理界定科技投入的数量和比例,构建科学的预算规划管理体系,提升资源配置效率和效益,加大对前瞻性、创新性研究和应用探索的投入。建立信息科技治理成熟度评价机制,持续优化信息科技治理体系。
第二节 优化信息科技组织架构,建立协同高效的管理体系
进一步优化信息科技管理、开发、数据中心管理(含运维)等专业部门的职责分工,加强各部门专业性建设,增强专业管理团队和专业人员配置。加强开发、运维、安全和风险管理职能的协调联动,建立一体化的管理支撑平台和高效的协作流程。优化制度规范体系,提高制度规范的针对性和适用性,注重制度规范的可操作性和实效性,定期开展制度有效性评估和制度优化清理工作。构建统一的企业级技术与管理标准,明确制度与标准的边界和衔接关系,建立标准的制定和维护流程,提升科技工作精益化水平。优化科技项目决策和采购流程,在合法合规的前提下提高效率。
第三节 创新科技人力资源管理模式,完善激励机制
董事会、高管层要深刻认识信息科技产业、行业及专业的特点,前瞻制定差异化、专门化的信息科技人力资源发展规划和管理模式。创新人力资源招募模式,增强信息科技部门在人员招募和薪酬体系方面的决策权和灵活性。加强信息科技人力资源保障,原则上,大中型银行信息科技人员占比应不低于4%,城市商业银行、具有独立系统的农村商业银行信息科技人员占比应不低于3.5%,省级农村信用联社信息科技人员占服务机构总人数比例不低于3%,其他银行业金融机构信息科技人员占比不低于%1.5。完善考核激励机制,建立行政、专业双线的科技人员职业生涯体系,建立与产业、行业对标的市场化动态薪酬调整机制,加大对关键岗位和创新型员工的激励力度。加强对创新性、复合型人才的培养力度,充实中高级人才队伍,优化信息科技人力资源结构。重视分支机构信息科技人员的培养,重要分支机构应设立专门的信息科技部门,提升分支机构信息科技支持保障能力。
第四节 改进科技规划管理模式,持续优化和完善信息系统架构
增强中长期信息科技规划的战略性、指导性和可操作性,建立中长期规划与日常项目规划、架构规划有机衔接的规划管理机制和工作流程,保障不同层级规划之间的动态一致性。推动规划方式方法的变革,构建灵活、高效的规划工作机制,积极适应业务转型、产品创新、管理变革对规划调整速度的需求。提升技术架构的精细化水平,基于开放性强、透明度高、适用面广的信息技术提升架构设计和管控能力,鼓励合规使用开源技术和正版软件,鼓励使用创新的分布式架构。提升信息安全规划和数据规划在整体规划中的地位,切实将安全规划、数据规划有机融入整体规划。
第五章 深化科技创新,落实"互联网+"行动计划
"十三五"期间,银行业要把创新贯穿科技工作始终,全面实施科技创新战略,积极把握大数据、云计算、移动互联网等新兴信息技术带来的发展机遇,深入落实《国务院关于积极推进"互联网+"行动的指导意见》(国发〔2015〕40号),构建银行业互联网金融生态,积极推进核心应用体系改造升级,助推银行业务转型升级。
第一节 加强顶层设计,全面实施科技创新战略
深入推进落实国家创新驱动发展战略,将创新纳入银行总体战略,深刻认识科技在创新中的重要地位,明确科技引领创新的战略定位。加强科技创新顶层设计,优化科技治理结构,为科技创新在制度、组织、流程方面留足空间。培育科技创新文化,形成鼓励创新、激发创新、自觉创新的良好氛围。加大创新性研发投入,全方位开展科技创新,原则上,年度信息化投入中用于创新性探索研究和应用的投入比例不低于科技总投入的5%,对科技创新投入要建立专门账册。紧跟新技术发展趋势,加强前瞻性研究,进一步深入开展虚拟化、云计算、大数据、移动互联领域的创新,积极尝试开展量子通信、生物特征识别、虚拟现实、人工智能等技术的应用。加强产、学、研、用协同创新,关注并积极尝试开展科研成果的应用转化,博采众长,积极尝试应用中小微科技企业的创新成果。
第二节 服务实体经济,大力发展"互联网+普惠金融"
深入开展电子渠道一体化建设,支持电子渠道一体化运营,实现线上、线下多元渠道整合,改善客户体验,增强服务能力。积极运用移动互联网、智能终端等技术拓展服务渠道,扩大金融服务覆盖面,提升农民、中低收入人群和其他特殊群体的金融服务可得性和满意度。充分运用现代信息技术促进银行业有效支持精准扶贫,开展互联网便民金融服务,建立公益农村电商平台,畅通农村特色产业供需对接渠道和金融扶助产品,全力支持打赢脱贫攻坚战。积极运用互联网、大数据等信息技术创新金融产品和信贷方式,创新风险管理手段,提高信贷审批效率,丰富小微企业、"三农"融资途径及产品种类,降低融资成本。改善客户体验,强化场景构建,深化多渠道融合,建立一致性的渠道服务体验,提高客户服务效率和有效服务率。开展面向银行业的金融公共服务平台建设,以扩大小微企业、"三农"银行服务覆盖面和提升银行服务便捷性、安全性为目标,探索研究公共基础设施、公共接口、公共理财、公共信息等公共银行服务,推动银行业金融机构架构转型,同步提升行业信息化的集约性和安全性。规范网络信贷技术平台,促进提升平台的安全性,增强技术风险管理能力。
第三节 协同创新,跨界合作构建互联网金融生态圈
探索制定互联网金融发展战略,建立互联网金融技术平台,在保障安全和合规的基础上逐步开放互联网金融服务接口。支持开展跨界合作,拓展金融服务场景,建立新的获客与活客模式,积极拓展互联网金融跨境、跨领域、跨行业的服务能力。不断完善上下游产业生态链,加强线上线下金融服务衔接,针对细分客户群和业务场景,提供差异化的金融产品和服务,提升金融服务价值,构建互联网金融生态圈。充分利用跨界数据和经验创新业务模式、改进业务流程、完善风险管理,提升银行的传统金融服务能力。鼓励银行间合作开展互联网金融平台建设,共同拓展业务,集约使用资源,形成联合竞争优势。
第六章 推进大数据应用,全面提升数据治理与数据服务能力
"十三五"期间,银行业金融机构要深入贯彻落实《促进大数据发展行动纲要》(国发〔2015〕50号),主动制定大数据战略,积极建立大数据服务体系,加强数据共享,深化大数据应用,充分发挥数据价值。
第一节 制定大数据战略,夯实数据治理基础
加强大数据顶层设计和规划,打造专业化的数据管理模式,进一步推进数据标准化和规范化建设。完善数据治理体系,建立专门的数据管理部门或团队,理顺跨部门、跨领域的数据协作关系和协作流程,健全数据治理的评价、考核和持续改进机制。落实企业数据架构管理,推进数据标准的建设与落实,规范制定、评审、发布、修订流程,逐步建立和完善企业级数据标准,切实提高数据的准确性和一致性。持续提升数据质量,建立数据质量评估机制,强调数据采集源头的质量管理,优化数据质量问题的解决方案,持续提升数据质量加强数据共享。构建数据共享机制,有效识别业务创新与科技创新中的多数据源拓展机会以及潜在风险,逐步实现内外部数据的融合。统筹规划大数据基础设施,稳步推进大数据平台建设,推动大数据与云计算、物联网、移动互联网等新兴技术融合发展。
第二节 建立大数据服务体系,加强大数据应用
建立大数据服务体系,构建数据服务平台和服务接口,提升数据服务的易用性和便捷性,扩大数据服务的用户覆盖面。稳步拓展线上交易、电商平台、社交网络等互联网数据来源,整合司法、工商、财税等政府部门依法公开的信息,科学吸纳第三方征信机构信息数据,积极扩大信息来源,奠定大数据应用基础。开展大数据营销,探索客户全方位多视角的行为分析技术应用,打造广泛、全面的客户信息基础,精确定位客户群体、细分客户偏好,构建一体化营销平台实现精准营销,提升客户体验,提高获客能力和客户黏性。尝试大数据精准扶贫,运用大数据精确识别贫困人群,洞察扶贫资金流向,采取针对性的扶贫措施,开发针对性的扶贫产品,精准评价扶贫效果,提升扶贫工作的效率和效能。加强大数据风控,运用大数据更精确地评价客户信用,提升风险决策实时性,运用大数据技术将内控规则嵌入交易流程,更迅速地识别操作风险,预防、发现并及时阻断银行内外部的欺诈行为运用大数据改善银行经营管理,全面了解银行运营情况,及时优化业务流程,提高精细化管理水平,推动业务创新。
第七章 稳步开展云计算应用,主动实施架构转型
"十三五"期间,银行业金融机构要深入贯彻落实《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号),积极开展云计算架构规划,制定云计算标准,联合建立行业云平台,主动实施架构转型。
第一节 制定云计算架构规划,推进云计算应用
适应互联网环境下计算资源弹性变化和快速部署等需求,开展云计算架构规划,制定云计算应用策略。探索构建私有云平台,采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、网络虚拟化等技术,建立资源池,形成资源弹性供给、灵活调度和动态计量的私有云平台。探索建立银行业金融公共服务行业云,构建私有云与行业云相结合的混合云应用。同步开展应用架构规划,构建与云计算基础设施相适应的应用架构,自主设计或推动应用开发商实施应用架构改造,并降低应用与基础架构的耦合度。稳步实施架构迁移,到"十三五"末期,面向互联网场景的主要信息系统尽可能迁移至云计算架构平台。
第二节 建立银行业云计算标准体系,推动云计算科学发展
推动大中型银行云计算相关标准规范的制定,构建包括云基础、云资源、云服务、云安全等领域的云计算综合标准化体系框架,研究制定银行业云计算服务质量、计量、应用迁移,云计算数据中心建设与评估,以及虚拟化数据存储、弹性计算、评估测评等方面标准。逐步推进云计算安全体系建设,确保构建可信的云计算环境,探索构建以安全目标验证、安全服务等级测评为核心的云计算安全标准与测评体系,探索建立基于云计算的安全攻击的快速识别、预警与防护的云计算安全监管体系。
第三节 建立行业云平台,提升金融技术公共服务能力
深入践行共享发展理念,加强银行间在基础设施领域的合作,在资源、人才、经验等方面建立合作共享机制,发挥集约效应,联合开展面向银行业的公共云平台规划和建设。建立符合法律法规要求、市场化运作、具备金融级安全等级的行业云平台运营机制;发挥协同效应,以行业云平台为基础开展金融技术创新研究,形成公共基础设施、公共接口、公共应用等一批技术公共服务。
第八章 增强应用体系支撑能力,助推银行业务转型发展
"十三五"期间,银行业金融机构要进一步提升科技对业务的支撑能力,积极推进核心应用转型,增强综合化和差异化服务能力,通过完善企业级客户信息系统,强化以客户为中心的价值创造,适应大资管需要,提供多元化、一体化金融服务,优化流程银行,构建现代化运营体系,拓展应用范围,积极支持银行业国际化战略。
第一节 推进核心应用转型,增强综合化和差异化服务能力
优化核心系统,提升核心系统组件化和模块化设计水平,具备产品参数灵活配置、交易核算分离等支持能力,使业务更专注于客户服务与产品创新,快速灵活应对会计制度与管理要求的变化。提供多法人支持,满足法人机构差异化、多元化需求,具备支撑金融机构并购和重组的能力,积极拓展银行系统与租赁、保险、基金、投行等综合化业务之间的联动,支持与各类混业经营业务应用系统的对接,促进集团层面的客户信息共享和风险联动控制,支持银行综合化与集团化发展。构建利率市场化环境下产品差异化定价能力,维持合理获利与价格竞争力间的平衡。优化核心应用基础数据,满足数据完整性、可追溯性及对精细化管理的要求。充分考虑未来互联网场景,探索应用微服务架构,进一步优化特殊时段交易与批量作业设计,支持互联网时代的消费行为变化并保障稳定运行。
第二节 完善企业级客户信息系统,强化客户为中心的价值创造
提升数据完整性与应用集成性,实现统一客户视图,优化客户基本信息数据的统一管理、信息共享策略,有效支持同异业合作、业务产品服务创新,和以客户贡献度为主的差异化定价。实现客户信息的单点维护,简化客户信息维护流程,提升服务效率与客户体验。积极把握同异业间业务合作契机,探索企业级统一客户视图在跨业合作时的客户信息交互机制。构建多维度的客户管理分析系统,满足基于客户特征、客户行为、客户流失与客户贡献度等业务分析需要,结合交易时间、渠道类别、产品服务、行为习惯等维度,支持操作型客户关系管理,实现客户洞察,推进差异化服务与精准营销,创造优质体验,促进客户关系并形成市场竞争优势。加强业务创新前瞻性设计,强化以客户为中心的信息共享及价值创造,提升支持产品组合创新、业务联动创新能力;推进业务流程的整合优化,提升客户体验,通过灵活组合定制,快速满足客户在不同渠道的差异化服务需求。
第三节 适应大资管发展,支持多元化、一体化金融服务
整合现金管理、贸易融资、供应链金融与票据池,不断提升资产管理能力,为企业客户提供综合化的金融服务。顺应资产管理业务外延式发展的趋势,提高资产信息管理水平,支持复杂的资产产品、灵活的投资模式、多样的投资标的、完善的风险控制,满足自身管理与外部监管的要求。加强同业管理能力,实现同业场内外业务的客户信息、授信额度、风险控制的统一管理。完善财富管理系统,整合零售业务、理财规划、投资管理,提供中高端零售客户一体化的产品和服务。
第四节 优化流程银行,构建现代化运营体系
有效运用信息科技,以流程银行为中心,构建分工专业、稳健高效且能快速响应市场变化的现代化银行运营体系。实现前、中、后台的业务分离,以追求客户体验最佳化为目标,配合业务流程的梳理及优化,强化风险集中管控,提升运营管理效率。实现作业处理集中化,以标准化、规范化、流程化、信息化为原则,运用影像处理与流程自动化技术,配合前中后台分离与应用架构分层部署,进行业务流程优化与应用系统改造,实现正确、快速且安全的作业集中处理,有效形成运营规模,实现专业分工,提升成本效益并强化风险管控能力。积极实施网点转型,推动网点向营销型、体验型智慧网点转变,大力推动网点无纸化办公,运用新技术减少客户网点等待时间,积极运用无线服务、移动办公等技术改善客户网点体验。
第五节 增强应用体系的拓展性,支撑银行国际化战略
稳步推进全球一体化信息科技服务体系建设,夯实跨境金融服务机构软硬件基础,巩固现有跨境金融服务能力,扩展国际贸易、国际投资服务、跨境电子商务、人民币支付结算水平及业务范围,将国内现有成熟的业务系统延伸到境外,进一步提升信息科技的全球化支持服务能力。在业务服务统一性基础上,提升产品的差别化服务能力,兼顾不同业务的差异化要求,灵活应对当地监管合规要求,覆盖产品、客户服务本地化发展的特色需求。跨境经营的银行机构,要逐步优化调整境内总行与分行应用架构,从集约化管理、支持分行快速创新等角度优化分行应用的部署,构建有效支持区域差异化的境外系统架构。
第九章 构建绿色高效的数据中心,打造智能化运维体系
"十三五"期间,银行业金融机构要进一步优化数据中心规划布局,提高数据中心利用率,加强节能降耗改造,提升数据中心管理能力成熟度,强化运维管理体系建设,逐步实现自动化、智能化运维。
第一节 构建高效数据中心,提升数据中心管理能力成熟度
加强数据中心的利用规划,通过"双活"或"多活"等方式提高数据中心利用率,提升信息系统可用性。充分运用云计算思路和分布式技术,使用开放的软硬件架构实现基础网络和计算资源的多中心灵活部署,提升基础资源的使用效率,增强基础资源部署的弹性。优化数据中心布局,新建数据中心选址应充分考虑选址过于集中带来的区域性风险,配合国家"一带一路"的战略部署,优先考虑其他信息化服务的节点城市,并倾向气候适宜、通讯、电力、水资源充沛的地区,逐步缓解数据中心区域性集中风险。加强数据中心运营管理能力建设,开展数据中心管理能力成熟度评价,到"十三五"末期,按照相关标准,大中型银行数据中心服务能力成熟度不低于III级,其他机构数据中心服务能力成熟度不低于II级。
第二节 大力推进绿色节能技术,提高能效产出
建立健全基础设施能源管理和使用的指导性标准,利用云计算、虚拟化等新技术,构建绿色数据中心,进一步提高数据中心资源利用率。逐步采用新技术设计数据中心机房,实现基础设施的弹性部署和处理能力的提升。推动机房内部环境采用多种方式降低综合能耗。挖掘数据中心节能潜力,实施绿色节能改造,提高单位能源效率,到"十三五"末期,国有和股份制银行数据中心PUE值(电力使用效率)原则上应不高于1.5,其他银行业金融机构PUE值原则上应不高于2。
第三节 提高运维自动化水平,打造智能化运维体系
提高基础资源和应用部署的自动化水平,实现快速交付、动态调整、弹性部署,降低人工操作风险,自动化部署比例不低于75%。持续推进生产运维监控精细化、自动化、智能化建设,强化系统风险和故障的早预警、早定位和早处置。实现应用层面交易全流程、全节点监控全覆盖,结合应用系统交易特性及相关数据的分析对比,提升交易过程监控的智能化水平。强化容量管理,做好相关资源的动态规划,预防非计划性、突发性的容量瓶颈问题发生。强化运维、开发、安全、风险管理的信息共享和一体化协作,提升多方联动能力。加强运维大数据分析,利用运维大数据加强业务风险防控,探索利用运维大数据推动业务流程优化并支持业务创新。
第十章 健全产品研发管理机制,全面提升质量与效率
"十三五"期间,银行业金融机构要积极推进应用架构转型,建立适应科技创新的产品研发管理机制,探索能够快速响应客户需求的产品研发模式,提升产品创新速度和创新能力,有序推进产品快速交付。
第一节 积极推进应用架构转型,加强应用架构管控
着力提升应用架构的开放性,促进内外部应用的协同协作,通过开放应用接口等方式释放内部应用服务潜力,通过内外部应用服务整合、重组创造新的业务场景,提升业务价值。增强应用架构的灵活性,完善应用架构分层体系,推进应用系统集中与分布合理布局,全面提升应用跨系统跨平台组件化、集成化水平,拓展跨业务线组合服务能力,增强应用参数化与可配置能力,通过复用、组合、封装、调度等集成银行服务,实现应用快速部署及时响应市场需要和业务需求。推进平台化建设,均衡应用架构的耦合度与复杂性,建设或优化企业服务总线,探索构建银行业务专用中间件,提升应用整合能力。
第二节 进一步完善研发管理体系,提升产品研发质效
优化需求管理模式,重点加强业务需求管理能力建设,采取业务和科技人员相互嵌入等多种方式,加强业务和科技复合型人才培养力度,提升业务部门的需求描述能力。建立需求和架构相统一的管理团队和工作流程,增强产品规划、业务需求和技术架构的整合协同能力。提升软件过程管理能力,自主研发团队超过100人的银行应达到中等以上的软件过程能力成熟度,形成文档化、标准化的软件开发过程,积累过程级、组织级的项目数据,建立稳定、可靠的过程管理体系。加强软件研发环境建设,增强软件配置管理能力,为研发人员提供稳定、高效的环境和工具支持。建立研发知识管理体系,注重项目过程中的知识沉淀、加工和提炼,逐步形成内容丰富、动态更新的研发知识库。
第三节 探索建立快速研发机制,支撑产品持续创新
加强敏捷开发、场景驱动等新研发模式的研究与运用,探索快速研发的需求分析方法,提高对客户需求变化的敏感度,提升客户体验。加强产品快速开发能力建设,探索迭代开发方式,提升开发效率。探索快速测试方法,研究与运用敏捷测试等新测试技术,满足产品快速、频繁更新要求。探索敏捷交付、灰度发布等方法,推进开发、测试、交付、运维一体化能力建设,支撑产品迅速投放市场,同时降低投产风险。完善产品研发团队组织管理方式,加大业务人员、运维人员参与范围和参与力度,打破组织架构和职能分工壁垒,整合团队职能流程,发挥研发体系合力。
第十一章 加强信息安全管理,全面提升网络和信息安全水平
"十三五"期间,银行业金融机构要积极贯彻落实国家网络与信息安全政策,把信息安全工作提高到企业发展的战略性高度统筹考虑,着力健全信息安全管理体系,加强信息安全技术防护,提升关键信息基础设施的安全保障水平,确保风险可控。
第一节 深入贯彻落实国家信息安全等级保护制度,健全完善银行业网络安全防护体系
健全完善银行业信息安全等级保护工作领导机制,统筹整合资源力量,研究解决银行业网络安全重大问题、重大事项和重点工作。健全完善银行业网络安全政策体系、标准体系,以银行业第三级以上信息系统及大数据安全为重点,深入推进实施国家信息安全等级保护制度,将大数据、云平台、互联网金融服务平台等纳入等级保护管理,建立信息安全等级保护工作考核评价,实现信息化建设与网络安全同步规划、同步实施、同步运行,持续健全银行业网络安全防护体系,保障和促进银行业健康有序发展。
第二节 强化关键信息基础设施的安全防护,提高重大网络安全威胁应对能力
健全信息安全防御机制,建立全方位的安全态势感知和预警体系,组织开展网络攻防演练,增强重大网络攻击的发现、分析和处置能力,积极应用量子保密通信等前沿技术提升网络安全防护能力。建立新兴技术信息安全管控机制,探索建立云计算、大数据等技术在大中型银行应用的安全指南、技术标准和建设规范,实现前瞻化、规范化管理,着重加强移动互联网渠道的安全防护。建立运维与安全协同化工作机制,建立共享技术平台,在指标监测、预警报告、应急处置等方面优化流程,形成联动效应。加强网络和信息安全领域的交流合作,遵守基于行业共识的全球安全标准,结合全球最佳实践,建立威胁情报共享机制和技术平台,深化推进银行业网络和信息安全会商机制。
第三节 增强研发运维安全管控,实现系统全生命周期安全管理
完善信息系统生命周期安全管理机制,实现信息系统从需求、开发、测试、投产上线、运行、退出的系统全流程安全管理机制。优化安全开发架构,统一部署信息安全功能,实现信息系统安全功能服务化、标准化、参数化,提升安全功能模块部署的一致性和灵活性。加强系统需求分析阶段的信息安全要求,加强新系统研发、新技术应用的安全控制,着力加强安全开发、安全测试管理。加强系统投产上线前安全评估,评价系统安全性以及对整体安全保障体系影响。
第四节 推进信息资产分类分级管理,加大敏感信息保护力度
推进信息资产识别和分类、分级工作,建立信息资产分级标准、规范,明确安全策略和保护要求,落实管理责任,确保信息资产分类分级管理范围的全面覆盖。加强敏感信息保护,重点加强客户身份、账户等重要电子信息的保护,深入评估客户敏感信息在创建、存储、使用、传输和销毁等过程中的安全风险,综合运用多因素认证、访问控制、边界防护、泄密检测、密码算法和技术、数据脱敏和安全审计等手段,切实提高客户身份认证和验证强度,防范敏感数据泄露、篡改、丢失和非授权访问等风险。持续推进软件正版化工作,加强正版化意识教育,运用软件资产管理标准、方法和实践提升软件正版化工作水平,防范因盗版软件引发的各类风险。
第五节 落实国家网络安全政策,建立长效机制
全面、深入落实国家网络安全政策,将网络安全与信息化发展纳入银行整体战略发展规划,逐步建立能够有效保障网络和信息安全、实现风险可控的长效机制。鼓励原始创新、集成创新和消化吸收再创新,有序推进架构设计、系统研发、应用维护的整体安全、风险可控。以开放、弹性、安全、高效为重点目标实施架构转型,打造高可用、灵活、易获得、可移植且易于横向扩展的基础架构。掌握信息技术的选择权,鼓励加大在核心系统和关键技术方面研发创新投入,积极研究开源软件在银行重要信息系统的应用。关键信息基础设施应逐步采用异构冗余技术,对重要业务系统,应逐步掌握独立变更升级的能力,保持业务连续性。
第十二章 提升信息科技风险管理水平,加强业务连续性管理能力
"十三五"期间,银行业金融机构要进一步夯实信息科技风险管理基础,丰富信息科技风险管理手段,健全完善信息科技外包管理机制,优化业务连续性管理体系,提升风险管理体系与业务连续性管理体系的协调性,不断提升信息科技风险管理水平和业务连续性管理能力,保障业务稳定运营和健康发展。
第一节 夯实管理基础,丰富信息科技风险管理手段
要重点加强信息科技风险识别与评估能力建设,科学开展信息科技风险评估工作,建立与资产、活动、威胁相关联、动态调整、及时更新的风险清单,构建支撑风险评估工作的管理系统,并开展持续的风险监测和应对工作。构建信息科技风险库,全面涵盖风险信息、检查信息和控制信息,为信息科技风险管理活动控提供完整、准确、有效的支持,建立风险库更新和维护机制,保证风险点数据库的全面性、实时性、准确性。建立信息科技风险关键指标体系,明确关键风险指标阈值,实施动态监测,构建运维、安全、风险"三位一体"的协同运作体系,提升信息科技风险管理的有效性和精细化程度。加强信息科技风险管理专业人才队伍建设,重点培养既懂信息技术又懂风险管理的复合性人才。充实信息科技审计人才队伍,要建立与科技资产规模和科技活动工作量及复杂度相匹配的审计队伍,配备具有专业资质的专职信息科技审计人员,提升信息科技审计工作质效。加强"三道防线"的协同,强化以风险管理为导向的信息科技运作机制,将风险管理活动贯穿到信息科技活动生命周期各环节,明确"三道防线"的工作界面和衔接点,形成信息科技活动、风险管理活动、审计活动有计划、有规则地相互协同配合,提升整体管理效能。
第二节 健全信息科技外包管理机制,提升外包风险管控水平
基于业务及科技发展战略、外包市场环境及发展趋势、自身风险控制能力和风险偏好,持续优化调整信息科技外包战略,以不妨碍核心能力建设、积极掌握关键技术为导向,审慎控制信息科技外包服务成本、效益和风险的相对平衡。规范信息科技外包服务交付及知识转移,确保拥有以适当自有资源掌握关键要素的能力,避免过度依赖外包服务。进一步健全信息科技外包管理组织架构,完善信息科技外包事前预防、事中控制、事后评价的外包风险管控模式,建立外包商准入考察机制,切实开展外包项目风险评估和尽职调查,对接触敏感数据和承担关键基础设施外包服务的第三方机构,要从国别风险、技术风险、供应链风险、经营风险等方面予以全方位评估,探索运用信息化手段加强外包风险管控。建立外包服务质量及风险监控机制,明确外包服务内容和质量监控指标,持续监控外包服务质量及外包商财务、内控、安全管理,及时报告、处置外包活动中的重大风险,重点加强对关键外包服务和非驻场集中式外包服务商的风险管控。充分发挥外包联合监督检查平台和外包合作组织的规范和引导作用,建立银行业各类信息科技外包服务规范和评价标准,促进银行业重点外包机构自我约束,提升银行业外包服务机构的整体水平。
第三节 优化业务连续性管理体系,增强业务持续运营管理能力
健全业务连续性全生命周期管理机制,加强业务连续性动态管理,适应业务灵活发展需要。加强分支机构业务连续性管理,不断扩展业务连续性管理业务覆盖范围。加强科技外包机构业务连续性管理,健全与第三方机构业务运营中断突发事件处置的联动机制。探索建立业务连续性管理成熟度评价模型,量化评价业务连续性管理水平。推进重要业务系统关键资源建设,有效评估资源建设合理性和必要性。以满足业务恢复需求为目标,灵活选择、调整和优化灾备架构,不断完善灾备场地布局。促进建立系统缺失情况下的业务替代流程,加强技术与业务联动,强化依靠业务手段恢复运营的能力。滚动开展业务连续性计划演练,全面覆盖应急响应、指挥决策、信息报告、处置恢复等各个环节,有效验证业务恢复流程可行性和资源可用性,丰富演练场景和演练形式,提高演练真实性,增强各级组织应急处置流程掌握程度,强化演练的实战作用,推进跨地域、跨机构、跨行业联合应急演练,促进整体应急管理水平提高。建立联动机制,增强政府部门和相关单位对电力、通讯等重要资源的支持保障能力,获得公共部门对银行业务运营恢复的响应和支持。加强业务连续性事件声誉风险管理,建立多渠道信息监测通报工作机制,积极降低业务连续性事件的负面影响。
第十三章 推进信息科技开放协作
"十三五"期间,银行业金融机构要深入贯彻开放、协作、共享的理念,积极推进行业内外相关机构在互联互通、技术标准、技术合作、安全防御、信息共享、资源共享等领域协作,开创银行科技发展开放协作新局面。
第一节 建立行业科技资源与成果共享机制,发挥科技整体合力
推动银行业基础设施合作,探索建立灾备资源共享机制,缓解中小银行在投入、人力和技术方面相对缺乏的问题,鼓励有条件的银行利用技术优势和冗余资源,为其他银行提供场地、系统、运维等方面的托管服务与外包服务。鼓励银行之间开展产品联合创新、联合研发、联合推广,研究共建共享标准化业务的可行性,拓展服务网络,实现合作行间的多渠道互联互通,合作建设互联网金融平台,共享产品资源,为客户提供一站式全方位的金融服务。完善信息科技共性制度体系,研究建立银行业信息数据共享、云计算、移动互联技术等规范指引,促进银行业科技工作规范性建设。探索建立科技成果登记制度,明确产权、使用权,建立科技成果评价与推广机制,积极探索构建集展示、共享、交易、咨询、合作为一体的科技成果交易服务平台。
第二节 建立银行业科技协作机制,提升科技风险整体防控能力
建立银行业信息科技风险协同处置平台,协同国家相关主管部门,健全快速联动处置机制,统筹处置特别重大信息安全事件。完善行业信息安全通报机制,联合开展信息安全宣传教育,提升银行业信息安全防控能力。建立行业共性的信息技术产品和服务风险库、缺陷库和问题库,加强风险信息的联合研究和共享,提升风险提示的及时性。建立协商例会制度,协调解决银行业信息科技风险重大共性问题,形成指导监督合力。
第三节 开展联合创新,积极推进新技术在银行业应用
通过产、学、研相结合的方式,探索建立银行业新技术应用实验室,参考借鉴国内外先进经验,集约使用资源,开展新技术、新趋势的前瞻性研究,为科研成果在银行业转化应用提供支撑。建立银行业科技创新支持与推广机制,进一步激发创新活力,探索建立创新基金扶持机制,对有价值的创新课题和实践给予支持。探索建立银行业创新推广机制,为科技成果转化为科技价值搭建便利的通道,加快在行业内推广有价值的创新成果。完善科技创新成果评价与奖励机制,进一步激发科技人员的创造力。
第十四章 保障措施
第一节 加强组织领导
银行业金融机构要组织好指导意见的宣贯解读和落地实施工作,明确一名高级管理人员作为负责人并组织建立跨部门的领导小组和执行办公室负责此项工作。结合本单位实际情况,建立任务分解表,明确各项任务牵头部门和参与部门,落实工作职责,制定落实时间计划,明确工作成果。加强本单位信息科技发展战略规划与行业规划的衔接,根据指导意见精神,制订本单位"十三五"信息科技发展规划并及时报送监管部门,持续跟踪相关工作进展,按年度向监管部门报送规划实施进展。
第二节 加强资源保障
统筹安排规划实施所需经费,继续加强对信息科技重要基础设施建设投入,不断加大新兴技术的应用研究,持续完善成本管理机制,提高信息科技资源集约化、精细化管理水平。要加强人才保障,坚持以人为本,切实加强金融和科技的复合型人才培养,拓展科技人才的职业通道,不断充实人才队伍,构建合理的人才梯队。
第三节 加强评价考核
要建立健全对规划实施的评价考核和激励机制,加强对规划实施情况的阶段性评估和跟踪分析,结合业务发展趋势持续优化规划内容,不断提高规划执行水平。强化对主要目标任务完成情况的定期综合评价考核,考核结果要作为员工提拔任用和奖励惩戒的重要依据,激发员工积极性,提升规划执行质量。
第四节 加强监管指导
银行业监管部门要制定与规划实施相配套的监管政策,统筹开展银行业信息科技领域共性关键问题的研究攻关。做好银行业信息科技监管政策和工作成果宣传,采取多种传播方式开展政策解读和宣传。促进银行业科技合作,推动建立共享、集约、开放、创新的金融公共服务平台。完善专业指导、课题研究工作机制,促进银行业信息科技工作经验分享和知识积累。建立规划实施与信息科技监管评级相衔接的监管评价机制,促进规划科学、有效落地。(来源:网经社综合零壹财经、银监会网站报道)