【正文】 管控機制，探索建立云計算、大數(shù)據(jù)等技術(shù)在大中型銀行應(yīng)用的安全指南、技術(shù)標(biāo)準(zhǔn)和建設(shè)規(guī)范，實現(xiàn)前瞻化、規(guī)范化管理，著重加強移動互聯(lián)網(wǎng)渠道的安全防護。建立運維與安全協(xié)同化工作機制，建立共享技術(shù)平臺，在指標(biāo)監(jiān)測、預(yù)警報告、應(yīng)急處置等方面優(yōu)化流程，形成聯(lián)動效應(yīng)。加強網(wǎng)絡(luò)和信息安全領(lǐng)域的交流合作，遵守基于行業(yè)共識的全球安全標(biāo)準(zhǔn)，結(jié)合全球最佳實踐，建立威脅情報共享機制和技術(shù)平臺，深化推進(jìn)銀行業(yè)網(wǎng)絡(luò)和信息安全會商機制。 第三節(jié) 增強研發(fā)運維安全管控，實現(xiàn)系統(tǒng)全生命周期安全管理完善信息系統(tǒng)生命周期安全管理機制，實現(xiàn)信息系統(tǒng)從需求、開發(fā)、測試、投產(chǎn)上線、運行、退出的系統(tǒng)全流程安全管理機制。優(yōu)化安全開發(fā)架構(gòu)，統(tǒng)一部署信息安全功能，實現(xiàn)信息系統(tǒng)安全功能服務(wù)化、標(biāo)準(zhǔn)化、參數(shù)化，提升安全功能模塊部署的一致性和靈活性。加強系統(tǒng)需求分析階段的信息安全要求，加強新系統(tǒng)研發(fā)、新技術(shù)應(yīng)用的安全控制，著力加強安全開發(fā)、安全測試管理。加強系統(tǒng)投產(chǎn)上線前安全評估，評價系統(tǒng)安全性以及對整體安全保障體系影響。第四節(jié) 推進(jìn)信息資產(chǎn)分類分級管理，加大敏感信息保護力度推進(jìn)信息資產(chǎn)識別和分類、分級工作，建立信息資產(chǎn)分級標(biāo)準(zhǔn)、規(guī)范，明確安全策略和保護要求，落實管理責(zé)任，確保信息資產(chǎn)分類分級管理范圍的全面覆蓋。加強敏感信息保護，重點加強客戶身份、賬戶等重要電子信息的保護，深入評估客戶敏感信息在創(chuàng)建、存儲、使用、傳輸和銷毀等過程中的安全風(fēng)險，綜合運用多因素認(rèn)證、訪問控制、邊界防護、泄密檢測、密碼算法和技術(shù)、數(shù)據(jù)脫敏和安全審計等手段，切實提高客戶身份認(rèn)證和驗證強度，防范敏感數(shù)據(jù)泄露、篡改、丟失和非授權(quán)訪問等風(fēng)險。持續(xù)推進(jìn)軟件正版化工作，加強正版化意識教育，運用軟件資產(chǎn)管理標(biāo)準(zhǔn)、方法和實踐提升軟件正版化工作水平，防范因盜版軟件引發(fā)的各類風(fēng)險。第五節(jié) 落實國家網(wǎng)絡(luò)安全政策，建立長效機制全面、深入落實國家網(wǎng)絡(luò)安全政策，將網(wǎng)絡(luò)安全與信息化發(fā)展納入銀行整體戰(zhàn)略發(fā)展規(guī)劃，逐步建立能夠有效保障網(wǎng)絡(luò)和信息安全、實現(xiàn)風(fēng)險可控的長效機制。鼓勵原始創(chuàng)新、集成創(chuàng)新和消化吸收再創(chuàng)新，有序推進(jìn)架構(gòu)設(shè)計、系統(tǒng)研發(fā)、應(yīng)用維護的整體安全、風(fēng)險可控。以開放、彈性、安全、高效為重點目標(biāo)實施架構(gòu)轉(zhuǎn)型，打造高可用、靈活、易獲得、可移植且易于橫向擴展的基礎(chǔ)架構(gòu)。掌握信息技術(shù)的選擇權(quán)，鼓勵加大在核心系統(tǒng)和關(guān)鍵技術(shù)方面研發(fā)創(chuàng)新投入，積極研究開源軟件在銀行重要信息系統(tǒng)的應(yīng)用。關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)逐步采用異構(gòu)冗余技術(shù)，對重要業(yè)務(wù)系統(tǒng)，應(yīng)逐步掌握獨立變更升級的能力，保持業(yè)務(wù)連續(xù)性。第十二章 提升信息科技風(fēng)險管理水平，加強業(yè)務(wù)連續(xù)性管理能力“十三五”期間，銀行業(yè)金融機構(gòu)要進(jìn)一步夯實信息科技風(fēng)險管理基礎(chǔ)，豐富信息科技風(fēng)險管理手段，健全完善信息科技外包管理機制，優(yōu)化業(yè)務(wù)連續(xù)性管理體系，提升風(fēng)險管理體系與業(yè)務(wù)連續(xù)性管理體系的協(xié)調(diào)性，不斷提升信息科技風(fēng)險管理水平和業(yè)務(wù)連續(xù)性管理能力，保障業(yè)務(wù)穩(wěn)定運營和健康發(fā)展。 第一節(jié) 夯實管理基礎(chǔ)，豐富信息科技風(fēng)險管理手段要重點加強信息科技風(fēng)險識別與評估能力建設(shè)，科學(xué)開展信息科技風(fēng)險評估工作，建立與資產(chǎn)、活動、威脅相關(guān)聯(lián)、動態(tài)調(diào)整、及時更新的風(fēng)險清單，構(gòu)建支撐風(fēng)險評估工作的管理系統(tǒng)，并開展持續(xù)的風(fēng)險監(jiān)測和應(yīng)對工作。構(gòu)建信息科技風(fēng)險庫，全面涵蓋風(fēng)險信息、檢查信息和控制信息，為信息科技風(fēng)險管理活動控提供完整、準(zhǔn)確、有效的支持，建立風(fēng)險庫更新和維護機制，保證風(fēng)險點數(shù)據(jù)庫的全面性、實時性、準(zhǔn)確性。建立信息科技風(fēng)險關(guān)鍵指標(biāo)體系，明確關(guān)鍵風(fēng)險指標(biāo)閾值，實施動態(tài)監(jiān)測，構(gòu)建運維、安全、風(fēng)險“三位一體”的協(xié)同運作體系，提升信息科技風(fēng)險管理的有效性和精細(xì)化程度。加強信息科技風(fēng)險管理專業(yè)人才隊伍建設(shè)，重點培養(yǎng)既懂信息技術(shù)又懂風(fēng)險管理的復(fù)合性人才。充實信息科技審計人才隊伍，要建立與科技資產(chǎn)規(guī)模和科技活動工作量及復(fù)雜度相匹配的審計隊伍，配備具有專業(yè)資質(zhì)的專職信息科技審計人員，提升信息科技審計工作質(zhì)效。加強“三道防線”的協(xié)同，強化以風(fēng)險管理為導(dǎo)向的信息科技運作機制，將風(fēng)險管理活動貫穿到信息科技活動生命周期各環(huán)節(jié)，明確“三道防線”的工作界面和銜接點，形成信息科技活動、風(fēng)險管理活動、審計活動有計劃、有規(guī)則地相互協(xié)同配合，提升整體管理效能。第二節(jié) 健全信息科技外包管理機制，提升外包風(fēng)險管控水平基于業(yè)務(wù)及科技發(fā)展戰(zhàn)略、外包市場環(huán)境及發(fā)展趨勢、自身風(fēng)險控制能力和風(fēng)險偏好，持續(xù)優(yōu)化調(diào)整信息科技外包戰(zhàn)略，以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向，審慎控制信息科技外包服務(wù)成本、效益和風(fēng)險的相對平衡。規(guī)范信息科技外包服務(wù)交付及知識轉(zhuǎn)移，確保擁有以適當(dāng)自有資源掌握關(guān)鍵要素的能力，避免過度依賴外包服務(wù)。進(jìn)一步健全信息科技外包管理組織架構(gòu)，完善信息科技外包事前預(yù)防、事中控制、事后評價的外包風(fēng)險管控模式，建立外包商準(zhǔn)入考察機制，切實開展外包項目風(fēng)險評估和盡職調(diào)查，對接觸敏感數(shù)據(jù)和承擔(dān)關(guān)鍵基礎(chǔ)設(shè)施外包服務(wù)的第三方機構(gòu)，要從國別風(fēng)險、技術(shù)風(fēng)險、供應(yīng)鏈風(fēng)險、經(jīng)營風(fēng)險等方面予以全方位評估，探索運用信息化手段加強外包風(fēng)險管控。建立外包服務(wù)質(zhì)量及風(fēng)險監(jiān)控機制，明確外包服務(wù)內(nèi)容和質(zhì)量監(jiān)控指標(biāo)，持續(xù)監(jiān)控外包服務(wù)質(zhì)量及外包商財務(wù)、內(nèi)控、安全管理，及時報告、處置外包活動中的重大風(fēng)險，重點加強對關(guān)鍵外包服務(wù)和非駐場集中式外包服務(wù)商的風(fēng)險管控。充分發(fā)揮外包聯(lián)合監(jiān)督檢查平臺和外包合作組織的規(guī)范和引導(dǎo)作用，建立銀行業(yè)各類信息科技外包服務(wù)規(guī)范和評價標(biāo)準(zhǔn)，促進(jìn)銀行業(yè)重點外包機構(gòu)自我約束，提升銀行業(yè)外包服務(wù)機構(gòu)的整體水平。第三節(jié) 優(yōu)化業(yè)務(wù)連續(xù)性管理體系，增強業(yè)務(wù)持續(xù)運營管理能力健全業(yè)務(wù)連續(xù)性全生命周期管理機制，加強業(yè)務(wù)連續(xù)性動態(tài)管理，適應(yīng)業(yè)務(wù)靈活發(fā)展需要。加強分支機構(gòu)業(yè)務(wù)連續(xù)性管理，不斷擴展業(yè)務(wù)連續(xù)性管理業(yè)務(wù)覆蓋范圍。加強科技外包機構(gòu)業(yè)務(wù)連續(xù)性管理，健全與第三方機構(gòu)業(yè)務(wù)運營中斷突發(fā)事件處置的聯(lián)動機制。探索建立業(yè)務(wù)連續(xù)性管理成熟度評價模型，量化評價業(yè)務(wù)連續(xù)性管理水平。推進(jìn)重要業(yè)務(wù)系統(tǒng)關(guān)鍵資源建設(shè)，有效評估資源建設(shè)合理性和必要性。以滿足業(yè)務(wù)恢復(fù)需求為目標(biāo)，靈活選擇、調(diào)整和優(yōu)化災(zāi)備架構(gòu)，不斷完善災(zāi)備場地布局。促進(jìn)建立系統(tǒng)缺失情況下的業(yè)務(wù)替代流程，加強技術(shù)與業(yè)務(wù)聯(lián)動，強化依靠業(yè)務(wù)手段恢復(fù)運營的能力。滾動開展業(yè)務(wù)連續(xù)性計劃演練，全面覆蓋應(yīng)急響應(yīng)、指揮決策、信息報告、處置恢復(fù)等各個環(huán)節(jié)，有效驗證業(yè)務(wù)恢復(fù)流程可行性和資源可用性，豐富演練場景和演練形式，提高演練真實性，增強各級組織應(yīng)急處置流程掌握程度，強化演練的實戰(zhàn)作用，推進(jìn)跨地域、跨機構(gòu)、跨行業(yè)聯(lián)合應(yīng)急演練，促進(jìn)整體應(yīng)急管理水平提高。建立聯(lián)動機制，增強政府部門和相關(guān)單位對電力、通訊等重要資源的支持保障能力，獲得公共部門對銀行業(yè)務(wù)運營恢復(fù)的響應(yīng)和支持。加強業(yè)務(wù)連續(xù)性事件聲譽風(fēng)險管理，建立多渠道信息監(jiān)測通報工作機制，積極降低業(yè)務(wù)連續(xù)性事件的負(fù)面影響。第十三章 推進(jìn)信息科技開放協(xié)作“十三五”期間，銀行業(yè)金融機構(gòu)要深入貫徹開放、協(xié)作、共享的理念，積極推進(jìn)行業(yè)內(nèi)外相關(guān)機構(gòu)在互聯(lián)互通、技術(shù)標(biāo)準(zhǔn)、技術(shù)合作、安全防御、信息共享、資源共享等領(lǐng)域協(xié)作，開創(chuàng)銀行科技發(fā)展開放協(xié)作新局面。第一節(jié) 建立行業(yè)科技資源與成果共享機制，發(fā)揮科技整體合力推動銀行業(yè)基礎(chǔ)設(shè)施合作，探索建立災(zāi)備資源共享機制，緩解中小銀行在投入、人力和技術(shù)方面相對缺乏的問題，鼓勵有條件的銀行利用技術(shù)優(yōu)勢和冗余資源，為其他銀行提供場地、系統(tǒng)、運維等方面的托管服務(wù)與外包服務(wù)。鼓勵銀行之間開展產(chǎn)品聯(lián)合創(chuàng)新、聯(lián)合研發(fā)、聯(lián)合推廣，研究共建共享標(biāo)準(zhǔn)化業(yè)務(wù)的可行性，拓展服務(wù)網(wǎng)絡(luò)，實現(xiàn)合作行間的多渠道互聯(lián)互通，合作建設(shè)互聯(lián)網(wǎng)金融平臺，共享產(chǎn)品資源，為客戶提供一站式全方位的金融服務(wù)。完善信息科技共性制度體系，研究建立銀行業(yè)信息數(shù)據(jù)共享、云計算、移動互聯(lián)技術(shù)等規(guī)范指引，促進(jìn)銀行業(yè)科技工作規(guī)范性建設(shè)。探索建立科技成果登記制度，明確產(chǎn)權(quán)、使用權(quán)，建立科技成果評價與推廣機制，積極探索構(gòu)建集展示、共享、交易、咨詢、合作為一體的科技成果交易服務(wù)平臺。第二節(jié) 建立銀行業(yè)科技協(xié)作機制，提升科技風(fēng)險整體防控能力建立銀行業(yè)信息科技風(fēng)險協(xié)同處置平臺，協(xié)同國家相關(guān)主管部門，健全快速聯(lián)動處置機制，統(tǒng)籌處置特別重大信息安全事件。完善行業(yè)信息安全通報機制，聯(lián)合開展信息安全宣傳教育，提升銀行業(yè)信息安全防控能力。建立行業(yè)共性的信息技術(shù)產(chǎn)品和服務(wù)風(fēng)險庫、缺陷庫和問題庫，加強風(fēng)險信息的聯(lián)合研究和共享，提升風(fēng)險提示的及時性。建立協(xié)商例會制度，協(xié)調(diào)解決銀行業(yè)信息科技風(fēng)險重大共性問題，形成指導(dǎo)監(jiān)督合力。第三節(jié) 開展聯(lián)合創(chuàng)新，積極推進(jìn)新技術(shù)在銀行業(yè)應(yīng)用通過產(chǎn)、學(xué)、研相結(jié)合的方式，探索建立銀行業(yè)新技術(shù)應(yīng)用實驗室，參考借鑒國內(nèi)外先進(jìn)經(jīng)驗，集約使用資源，開展新技術(shù)、新趨勢的前瞻性研究，為科研成果在銀行業(yè)轉(zhuǎn)化應(yīng)用提供支撐。建立銀行業(yè)科技創(chuàng)新支持與推廣機制，進(jìn)一步激發(fā)創(chuàng)新活力，探索建立創(chuàng)新基金扶持機制，對有價值的創(chuàng)新課題和實踐給予支持。探索建立銀行業(yè)創(chuàng)新推廣機制，為科技成果轉(zhuǎn)化為科技價值搭建便利的通道，加快在行業(yè)內(nèi)推廣有價值的創(chuàng)新成果。完善科技創(chuàng)新成果評價與獎勵機制，進(jìn)一步激發(fā)科技人員的創(chuàng)造力。第十四章 保障措施第一節(jié) 加強組織領(lǐng)導(dǎo)銀行業(yè)金融機構(gòu)要組織好指導(dǎo)意見的宣貫解讀和落地實施工作，明確一名高級管理人員作為負(fù)責(zé)人并組織建立跨部門的領(lǐng)導(dǎo)小組和執(zhí)行辦公室負(fù)責(zé)此項工作。結(jié)合本單位實際情況，建立任務(wù)分解表，明確各項任務(wù)牽頭部門和參與部門，落實工作職責(zé)，制定落實時間計劃，明確工作成果。加強本單位信息科技發(fā)展戰(zhàn)略規(guī)劃與行業(yè)規(guī)劃的銜接，根據(jù)指導(dǎo)意見精神，制訂本單位“十三五”信息科技發(fā)展規(guī)劃并及時報送監(jiān)管部門，持續(xù)跟蹤相關(guān)工作進(jìn)展，按年度向監(jiān)管部門報送規(guī)劃實施進(jìn)展。第二節(jié) 加強資源保障統(tǒng)籌安排規(guī)劃實施所需經(jīng)費，繼續(xù)加強對信息科技重要基礎(chǔ)設(shè)施建設(shè)投入，不斷加大新興技術(shù)的應(yīng)用研究，持續(xù)完善成本管理機制，提高信息科技資源集約化、精細(xì)化管理水平。要加強人才保障，堅持以人為本，切實加強金融和科技的復(fù)合型人才培養(yǎng)，拓展科技人才的職業(yè)通道，不斷充實人才隊伍，構(gòu)建合理的人才梯隊。第三節(jié) 加強評價考核要建立健全對規(guī)劃實施的評價考核和激勵機制，加強對規(guī)劃實施情況的階段性評估和跟蹤分析，結(jié)合業(yè)務(wù)發(fā)展趨勢持續(xù)優(yōu)化規(guī)劃內(nèi)容，不斷提高規(guī)劃執(zhí)行水平。強化對主要目標(biāo)任務(wù)完成情況的定期綜合評價考核，考核結(jié)果要作為員工提拔任用和獎勵懲戒的重要依據(jù)，激發(fā)員工積極性，提升規(guī)劃執(zhí)行質(zhì)量。第四節(jié) 加強監(jiān)管指導(dǎo)銀行業(yè)監(jiān)管部門要制定與規(guī)劃實施相配套的監(jiān)管政策，統(tǒng)籌開展銀行業(yè)信息科技領(lǐng)域共性關(guān)鍵問題的研究攻關(guān)。做好銀行業(yè)信息科技監(jiān)管政策和工作成果宣傳，采取多種傳播方式開展政策解讀和宣傳。促進(jìn)銀行業(yè)科技合作，推動建立共享、集約、開放、創(chuàng)新的金融公共服務(wù)平臺。完善專業(yè)指導(dǎo)、課題研究工作機制，促進(jìn)銀行業(yè)信息科技工作經(jīng)驗分享和知識積累。建立規(guī)劃實施與信息科技監(jiān)管評級相銜接的監(jiān)管評價機制，促進(jìn)規(guī)劃科學(xué)、有效落地。45 / 4