【正文】 管控機(jī)制，探索建立云計(jì)算、大數(shù)據(jù)等技術(shù)在大中型銀行應(yīng)用的安全指南、技術(shù)標(biāo)準(zhǔn)和建設(shè)規(guī)范，實(shí)現(xiàn)前瞻化、規(guī)范化管理，著重加強(qiáng)移動(dòng)互聯(lián)網(wǎng)渠道的安全防護(hù)。建立運(yùn)維與安全協(xié)同化工作機(jī)制，建立共享技術(shù)平臺，在指標(biāo)監(jiān)測、預(yù)警報(bào)告、應(yīng)急處置等方面優(yōu)化流程，形成聯(lián)動(dòng)效應(yīng)。加強(qiáng)網(wǎng)絡(luò)和信息安全領(lǐng)域的交流合作，遵守基于行業(yè)共識的全球安全標(biāo)準(zhǔn)，結(jié)合全球最佳實(shí)踐，建立威脅情報(bào)共享機(jī)制和技術(shù)平臺，深化推進(jìn)銀行業(yè)網(wǎng)絡(luò)和信息安全會(huì)商機(jī)制。 第三節(jié) 增強(qiáng)研發(fā)運(yùn)維安全管控，實(shí)現(xiàn)系統(tǒng)全生命周期安全管理完善信息系統(tǒng)生命周期安全管理機(jī)制，實(shí)現(xiàn)信息系統(tǒng)從需求、開發(fā)、測試、投產(chǎn)上線、運(yùn)行、退出的系統(tǒng)全流程安全管理機(jī)制。優(yōu)化安全開發(fā)架構(gòu)，統(tǒng)一部署信息安全功能，實(shí)現(xiàn)信息系統(tǒng)安全功能服務(wù)化、標(biāo)準(zhǔn)化、參數(shù)化，提升安全功能模塊部署的一致性和靈活性。加強(qiáng)系統(tǒng)需求分析階段的信息安全要求，加強(qiáng)新系統(tǒng)研發(fā)、新技術(shù)應(yīng)用的安全控制，著力加強(qiáng)安全開發(fā)、安全測試管理。加強(qiáng)系統(tǒng)投產(chǎn)上線前安全評估，評價(jià)系統(tǒng)安全性以及對整體安全保障體系影響。第四節(jié) 推進(jìn)信息資產(chǎn)分類分級管理，加大敏感信息保護(hù)力度推進(jìn)信息資產(chǎn)識別和分類、分級工作，建立信息資產(chǎn)分級標(biāo)準(zhǔn)、規(guī)范，明確安全策略和保護(hù)要求，落實(shí)管理責(zé)任，確保信息資產(chǎn)分類分級管理范圍的全面覆蓋。加強(qiáng)敏感信息保護(hù)，重點(diǎn)加強(qiáng)客戶身份、賬戶等重要電子信息的保護(hù)，深入評估客戶敏感信息在創(chuàng)建、存儲(chǔ)、使用、傳輸和銷毀等過程中的安全風(fēng)險(xiǎn)，綜合運(yùn)用多因素認(rèn)證、訪問控制、邊界防護(hù)、泄密檢測、密碼算法和技術(shù)、數(shù)據(jù)脫敏和安全審計(jì)等手段，切實(shí)提高客戶身份認(rèn)證和驗(yàn)證強(qiáng)度，防范敏感數(shù)據(jù)泄露、篡改、丟失和非授權(quán)訪問等風(fēng)險(xiǎn)。持續(xù)推進(jìn)軟件正版化工作，加強(qiáng)正版化意識教育，運(yùn)用軟件資產(chǎn)管理標(biāo)準(zhǔn)、方法和實(shí)踐提升軟件正版化工作水平，防范因盜版軟件引發(fā)的各類風(fēng)險(xiǎn)。第五節(jié) 落實(shí)國家網(wǎng)絡(luò)安全政策，建立長效機(jī)制全面、深入落實(shí)國家網(wǎng)絡(luò)安全政策，將網(wǎng)絡(luò)安全與信息化發(fā)展納入銀行整體戰(zhàn)略發(fā)展規(guī)劃，逐步建立能夠有效保障網(wǎng)絡(luò)和信息安全、實(shí)現(xiàn)風(fēng)險(xiǎn)可控的長效機(jī)制。鼓勵(lì)原始創(chuàng)新、集成創(chuàng)新和消化吸收再創(chuàng)新，有序推進(jìn)架構(gòu)設(shè)計(jì)、系統(tǒng)研發(fā)、應(yīng)用維護(hù)的整體安全、風(fēng)險(xiǎn)可控。以開放、彈性、安全、高效為重點(diǎn)目標(biāo)實(shí)施架構(gòu)轉(zhuǎn)型，打造高可用、靈活、易獲得、可移植且易于橫向擴(kuò)展的基礎(chǔ)架構(gòu)。掌握信息技術(shù)的選擇權(quán)，鼓勵(lì)加大在核心系統(tǒng)和關(guān)鍵技術(shù)方面研發(fā)創(chuàng)新投入，積極研究開源軟件在銀行重要信息系統(tǒng)的應(yīng)用。關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)逐步采用異構(gòu)冗余技術(shù)，對重要業(yè)務(wù)系統(tǒng)，應(yīng)逐步掌握獨(dú)立變更升級的能力，保持業(yè)務(wù)連續(xù)性。第十二章 提升信息科技風(fēng)險(xiǎn)管理水平，加強(qiáng)業(yè)務(wù)連續(xù)性管理能力“十三五”期間，銀行業(yè)金融機(jī)構(gòu)要進(jìn)一步夯實(shí)信息科技風(fēng)險(xiǎn)管理基礎(chǔ)，豐富信息科技風(fēng)險(xiǎn)管理手段，健全完善信息科技外包管理機(jī)制，優(yōu)化業(yè)務(wù)連續(xù)性管理體系，提升風(fēng)險(xiǎn)管理體系與業(yè)務(wù)連續(xù)性管理體系的協(xié)調(diào)性，不斷提升信息科技風(fēng)險(xiǎn)管理水平和業(yè)務(wù)連續(xù)性管理能力，保障業(yè)務(wù)穩(wěn)定運(yùn)營和健康發(fā)展。 第一節(jié) 夯實(shí)管理基礎(chǔ)，豐富信息科技風(fēng)險(xiǎn)管理手段要重點(diǎn)加強(qiáng)信息科技風(fēng)險(xiǎn)識別與評估能力建設(shè)，科學(xué)開展信息科技風(fēng)險(xiǎn)評估工作，建立與資產(chǎn)、活動(dòng)、威脅相關(guān)聯(lián)、動(dòng)態(tài)調(diào)整、及時(shí)更新的風(fēng)險(xiǎn)清單，構(gòu)建支撐風(fēng)險(xiǎn)評估工作的管理系統(tǒng)，并開展持續(xù)的風(fēng)險(xiǎn)監(jiān)測和應(yīng)對工作。構(gòu)建信息科技風(fēng)險(xiǎn)庫，全面涵蓋風(fēng)險(xiǎn)信息、檢查信息和控制信息，為信息科技風(fēng)險(xiǎn)管理活動(dòng)控提供完整、準(zhǔn)確、有效的支持，建立風(fēng)險(xiǎn)庫更新和維護(hù)機(jī)制，保證風(fēng)險(xiǎn)點(diǎn)數(shù)據(jù)庫的全面性、實(shí)時(shí)性、準(zhǔn)確性。建立信息科技風(fēng)險(xiǎn)關(guān)鍵指標(biāo)體系，明確關(guān)鍵風(fēng)險(xiǎn)指標(biāo)閾值，實(shí)施動(dòng)態(tài)監(jiān)測，構(gòu)建運(yùn)維、安全、風(fēng)險(xiǎn)“三位一體”的協(xié)同運(yùn)作體系，提升信息科技風(fēng)險(xiǎn)管理的有效性和精細(xì)化程度。加強(qiáng)信息科技風(fēng)險(xiǎn)管理專業(yè)人才隊(duì)伍建設(shè)，重點(diǎn)培養(yǎng)既懂信息技術(shù)又懂風(fēng)險(xiǎn)管理的復(fù)合性人才。充實(shí)信息科技審計(jì)人才隊(duì)伍，要建立與科技資產(chǎn)規(guī)模和科技活動(dòng)工作量及復(fù)雜度相匹配的審計(jì)隊(duì)伍，配備具有專業(yè)資質(zhì)的專職信息科技審計(jì)人員，提升信息科技審計(jì)工作質(zhì)效。加強(qiáng)“三道防線”的協(xié)同，強(qiáng)化以風(fēng)險(xiǎn)管理為導(dǎo)向的信息科技運(yùn)作機(jī)制，將風(fēng)險(xiǎn)管理活動(dòng)貫穿到信息科技活動(dòng)生命周期各環(huán)節(jié)，明確“三道防線”的工作界面和銜接點(diǎn)，形成信息科技活動(dòng)、風(fēng)險(xiǎn)管理活動(dòng)、審計(jì)活動(dòng)有計(jì)劃、有規(guī)則地相互協(xié)同配合，提升整體管理效能。第二節(jié) 健全信息科技外包管理機(jī)制，提升外包風(fēng)險(xiǎn)管控水平基于業(yè)務(wù)及科技發(fā)展戰(zhàn)略、外包市場環(huán)境及發(fā)展趨勢、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好，持續(xù)優(yōu)化調(diào)整信息科技外包戰(zhàn)略，以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向，審慎控制信息科技外包服務(wù)成本、效益和風(fēng)險(xiǎn)的相對平衡。規(guī)范信息科技外包服務(wù)交付及知識轉(zhuǎn)移，確保擁有以適當(dāng)自有資源掌握關(guān)鍵要素的能力，避免過度依賴外包服務(wù)。進(jìn)一步健全信息科技外包管理組織架構(gòu)，完善信息科技外包事前預(yù)防、事中控制、事后評價(jià)的外包風(fēng)險(xiǎn)管控模式，建立外包商準(zhǔn)入考察機(jī)制，切實(shí)開展外包項(xiàng)目風(fēng)險(xiǎn)評估和盡職調(diào)查，對接觸敏感數(shù)據(jù)和承擔(dān)關(guān)鍵基礎(chǔ)設(shè)施外包服務(wù)的第三方機(jī)構(gòu)，要從國別風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)等方面予以全方位評估，探索運(yùn)用信息化手段加強(qiáng)外包風(fēng)險(xiǎn)管控。建立外包服務(wù)質(zhì)量及風(fēng)險(xiǎn)監(jiān)控機(jī)制，明確外包服務(wù)內(nèi)容和質(zhì)量監(jiān)控指標(biāo)，持續(xù)監(jiān)控外包服務(wù)質(zhì)量及外包商財(cái)務(wù)、內(nèi)控、安全管理，及時(shí)報(bào)告、處置外包活動(dòng)中的重大風(fēng)險(xiǎn)，重點(diǎn)加強(qiáng)對關(guān)鍵外包服務(wù)和非駐場集中式外包服務(wù)商的風(fēng)險(xiǎn)管控。充分發(fā)揮外包聯(lián)合監(jiān)督檢查平臺和外包合作組織的規(guī)范和引導(dǎo)作用，建立銀行業(yè)各類信息科技外包服務(wù)規(guī)范和評價(jià)標(biāo)準(zhǔn)，促進(jìn)銀行業(yè)重點(diǎn)外包機(jī)構(gòu)自我約束，提升銀行業(yè)外包服務(wù)機(jī)構(gòu)的整體水平。第三節(jié) 優(yōu)化業(yè)務(wù)連續(xù)性管理體系，增強(qiáng)業(yè)務(wù)持續(xù)運(yùn)營管理能力健全業(yè)務(wù)連續(xù)性全生命周期管理機(jī)制，加強(qiáng)業(yè)務(wù)連續(xù)性動(dòng)態(tài)管理，適應(yīng)業(yè)務(wù)靈活發(fā)展需要。加強(qiáng)分支機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理，不斷擴(kuò)展業(yè)務(wù)連續(xù)性管理業(yè)務(wù)覆蓋范圍。加強(qiáng)科技外包機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理，健全與第三方機(jī)構(gòu)業(yè)務(wù)運(yùn)營中斷突發(fā)事件處置的聯(lián)動(dòng)機(jī)制。探索建立業(yè)務(wù)連續(xù)性管理成熟度評價(jià)模型，量化評價(jià)業(yè)務(wù)連續(xù)性管理水平。推進(jìn)重要業(yè)務(wù)系統(tǒng)關(guān)鍵資源建設(shè)，有效評估資源建設(shè)合理性和必要性。以滿足業(yè)務(wù)恢復(fù)需求為目標(biāo)，靈活選擇、調(diào)整和優(yōu)化災(zāi)備架構(gòu)，不斷完善災(zāi)備場地布局。促進(jìn)建立系統(tǒng)缺失情況下的業(yè)務(wù)替代流程，加強(qiáng)技術(shù)與業(yè)務(wù)聯(lián)動(dòng)，強(qiáng)化依靠業(yè)務(wù)手段恢復(fù)運(yùn)營的能力。滾動(dòng)開展業(yè)務(wù)連續(xù)性計(jì)劃演練，全面覆蓋應(yīng)急響應(yīng)、指揮決策、信息報(bào)告、處置恢復(fù)等各個(gè)環(huán)節(jié)，有效驗(yàn)證業(yè)務(wù)恢復(fù)流程可行性和資源可用性，豐富演練場景和演練形式，提高演練真實(shí)性，增強(qiáng)各級組織應(yīng)急處置流程掌握程度，強(qiáng)化演練的實(shí)戰(zhàn)作用，推進(jìn)跨地域、跨機(jī)構(gòu)、跨行業(yè)聯(lián)合應(yīng)急演練，促進(jìn)整體應(yīng)急管理水平提高。建立聯(lián)動(dòng)機(jī)制，增強(qiáng)政府部門和相關(guān)單位對電力、通訊等重要資源的支持保障能力，獲得公共部門對銀行業(yè)務(wù)運(yùn)營恢復(fù)的響應(yīng)和支持。加強(qiáng)業(yè)務(wù)連續(xù)性事件聲譽(yù)風(fēng)險(xiǎn)管理，建立多渠道信息監(jiān)測通報(bào)工作機(jī)制，積極降低業(yè)務(wù)連續(xù)性事件的負(fù)面影響。第十三章 推進(jìn)信息科技開放協(xié)作“十三五”期間，銀行業(yè)金融機(jī)構(gòu)要深入貫徹開放、協(xié)作、共享的理念，積極推進(jìn)行業(yè)內(nèi)外相關(guān)機(jī)構(gòu)在互聯(lián)互通、技術(shù)標(biāo)準(zhǔn)、技術(shù)合作、安全防御、信息共享、資源共享等領(lǐng)域協(xié)作，開創(chuàng)銀行科技發(fā)展開放協(xié)作新局面。第一節(jié) 建立行業(yè)科技資源與成果共享機(jī)制，發(fā)揮科技整體合力推動(dòng)銀行業(yè)基礎(chǔ)設(shè)施合作，探索建立災(zāi)備資源共享機(jī)制，緩解中小銀行在投入、人力和技術(shù)方面相對缺乏的問題，鼓勵(lì)有條件的銀行利用技術(shù)優(yōu)勢和冗余資源，為其他銀行提供場地、系統(tǒng)、運(yùn)維等方面的托管服務(wù)與外包服務(wù)。鼓勵(lì)銀行之間開展產(chǎn)品聯(lián)合創(chuàng)新、聯(lián)合研發(fā)、聯(lián)合推廣，研究共建共享標(biāo)準(zhǔn)化業(yè)務(wù)的可行性，拓展服務(wù)網(wǎng)絡(luò)，實(shí)現(xiàn)合作行間的多渠道互聯(lián)互通，合作建設(shè)互聯(lián)網(wǎng)金融平臺，共享產(chǎn)品資源，為客戶提供一站式全方位的金融服務(wù)。完善信息科技共性制度體系，研究建立銀行業(yè)信息數(shù)據(jù)共享、云計(jì)算、移動(dòng)互聯(lián)技術(shù)等規(guī)范指引，促進(jìn)銀行業(yè)科技工作規(guī)范性建設(shè)。探索建立科技成果登記制度，明確產(chǎn)權(quán)、使用權(quán)，建立科技成果評價(jià)與推廣機(jī)制，積極探索構(gòu)建集展示、共享、交易、咨詢、合作為一體的科技成果交易服務(wù)平臺。第二節(jié) 建立銀行業(yè)科技協(xié)作機(jī)制，提升科技風(fēng)險(xiǎn)整體防控能力建立銀行業(yè)信息科技風(fēng)險(xiǎn)協(xié)同處置平臺，協(xié)同國家相關(guān)主管部門，健全快速聯(lián)動(dòng)處置機(jī)制，統(tǒng)籌處置特別重大信息安全事件。完善行業(yè)信息安全通報(bào)機(jī)制，聯(lián)合開展信息安全宣傳教育，提升銀行業(yè)信息安全防控能力。建立行業(yè)共性的信息技術(shù)產(chǎn)品和服務(wù)風(fēng)險(xiǎn)庫、缺陷庫和問題庫，加強(qiáng)風(fēng)險(xiǎn)信息的聯(lián)合研究和共享，提升風(fēng)險(xiǎn)提示的及時(shí)性。建立協(xié)商例會(huì)制度，協(xié)調(diào)解決銀行業(yè)信息科技風(fēng)險(xiǎn)重大共性問題，形成指導(dǎo)監(jiān)督合力。第三節(jié) 開展聯(lián)合創(chuàng)新，積極推進(jìn)新技術(shù)在銀行業(yè)應(yīng)用通過產(chǎn)、學(xué)、研相結(jié)合的方式，探索建立銀行業(yè)新技術(shù)應(yīng)用實(shí)驗(yàn)室，參考借鑒國內(nèi)外先進(jìn)經(jīng)驗(yàn)，集約使用資源，開展新技術(shù)、新趨勢的前瞻性研究，為科研成果在銀行業(yè)轉(zhuǎn)化應(yīng)用提供支撐。建立銀行業(yè)科技創(chuàng)新支持與推廣機(jī)制，進(jìn)一步激發(fā)創(chuàng)新活力，探索建立創(chuàng)新基金扶持機(jī)制，對有價(jià)值的創(chuàng)新課題和實(shí)踐給予支持。探索建立銀行業(yè)創(chuàng)新推廣機(jī)制，為科技成果轉(zhuǎn)化為科技價(jià)值搭建便利的通道，加快在行業(yè)內(nèi)推廣有價(jià)值的創(chuàng)新成果。完善科技創(chuàng)新成果評價(jià)與獎(jiǎng)勵(lì)機(jī)制，進(jìn)一步激發(fā)科技人員的創(chuàng)造力。第十四章 保障措施第一節(jié) 加強(qiáng)組織領(lǐng)導(dǎo)銀行業(yè)金融機(jī)構(gòu)要組織好指導(dǎo)意見的宣貫解讀和落地實(shí)施工作，明確一名高級管理人員作為負(fù)責(zé)人并組織建立跨部門的領(lǐng)導(dǎo)小組和執(zhí)行辦公室負(fù)責(zé)此項(xiàng)工作。結(jié)合本單位實(shí)際情況，建立任務(wù)分解表，明確各項(xiàng)任務(wù)牽頭部門和參與部門，落實(shí)工作職責(zé)，制定落實(shí)時(shí)間計(jì)劃，明確工作成果。加強(qiáng)本單位信息科技發(fā)展戰(zhàn)略規(guī)劃與行業(yè)規(guī)劃的銜接，根據(jù)指導(dǎo)意見精神，制訂本單位“十三五”信息科技發(fā)展規(guī)劃并及時(shí)報(bào)送監(jiān)管部門，持續(xù)跟蹤相關(guān)工作進(jìn)展，按年度向監(jiān)管部門報(bào)送規(guī)劃實(shí)施進(jìn)展。第二節(jié) 加強(qiáng)資源保障統(tǒng)籌安排規(guī)劃實(shí)施所需經(jīng)費(fèi)，繼續(xù)加強(qiáng)對信息科技重要基礎(chǔ)設(shè)施建設(shè)投入，不斷加大新興技術(shù)的應(yīng)用研究，持續(xù)完善成本管理機(jī)制，提高信息科技資源集約化、精細(xì)化管理水平。要加強(qiáng)人才保障，堅(jiān)持以人為本，切實(shí)加強(qiáng)金融和科技的復(fù)合型人才培養(yǎng)，拓展科技人才的職業(yè)通道，不斷充實(shí)人才隊(duì)伍，構(gòu)建合理的人才梯隊(duì)。第三節(jié) 加強(qiáng)評價(jià)考核要建立健全對規(guī)劃實(shí)施的評價(jià)考核和激勵(lì)機(jī)制，加強(qiáng)對規(guī)劃實(shí)施情況的階段性評估和跟蹤分析，結(jié)合業(yè)務(wù)發(fā)展趨勢持續(xù)優(yōu)化規(guī)劃內(nèi)容，不斷提高規(guī)劃執(zhí)行水平。強(qiáng)化對主要目標(biāo)任務(wù)完成情況的定期綜合評價(jià)考核，考核結(jié)果要作為員工提拔任用和獎(jiǎng)勵(lì)懲戒的重要依據(jù)，激發(fā)員工積極性，提升規(guī)劃執(zhí)行質(zhì)量。第四節(jié) 加強(qiáng)監(jiān)管指導(dǎo)銀行業(yè)監(jiān)管部門要制定與規(guī)劃實(shí)施相配套的監(jiān)管政策，統(tǒng)籌開展銀行業(yè)信息科技領(lǐng)域共性關(guān)鍵問題的研究攻關(guān)。做好銀行業(yè)信息科技監(jiān)管政策和工作成果宣傳，采取多種傳播方式開展政策解讀和宣傳。促進(jìn)銀行業(yè)科技合作，推動(dòng)建立共享、集約、開放、創(chuàng)新的金融公共服務(wù)平臺。完善專業(yè)指導(dǎo)、課題研究工作機(jī)制，促進(jìn)銀行業(yè)信息科技工作經(jīng)驗(yàn)分享和知識積累。建立規(guī)劃實(shí)施與信息科技監(jiān)管評級相銜接的監(jiān)管評價(jià)機(jī)制，促進(jìn)規(guī)劃科學(xué)、有效落地。45 / 4