銀監(jiān)會網(wǎng)站消息,,銀監(jiān)會印發(fā)關(guān)于應用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見,,提出到2019年,,安全可控信息技術(shù)在銀行業(yè)總體達到75%左右的使用率,。
指導意見提出總體目標為,,建立銀行業(yè)應用安全可控信息技術(shù)的長效機制,,制定配套政策,,建立推進平臺,,大力推廣使用能夠滿足銀行業(yè)信息安全需求,,技術(shù)風險,、外包風險和供應鏈風險可控的信息技術(shù)。到2019年,,掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù),;實現(xiàn)銀行業(yè)關(guān)鍵網(wǎng)絡和信息基礎(chǔ)設施的合理分布,,關(guān)鍵設施和服務的集中度風險得到有效緩解;安全可控信息技術(shù)在銀行業(yè)總體達到75%左右的使用率,,銀行業(yè)網(wǎng)絡安全保障能力不斷加強,;信息化建設水平穩(wěn)步提升,更好地保護消費者權(quán)益,,維護經(jīng)濟社會安全穩(wěn)定,。
指導意見全文如下
中國銀行業(yè)監(jiān)督管理委員會
銀監(jiān)發(fā)[2014]39號
關(guān)于應用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡安全和信息化建設的指導意見
各銀監(jiān)局、各�,。ㄗ灾螀^(qū),、直轄市及計劃單列市)發(fā)展改革委、科技廳(委,、局),、工業(yè)和信息化主管部門、各政策性銀行,、國有商業(yè)銀行,、股份制商業(yè)銀行、金融資產(chǎn)管理公司,、儲蓄銀行,、各省級農(nóng)村信用聯(lián)社,銀監(jiān)會直接監(jiān)管的信托公司,、企業(yè)集團財務公司,、金融租賃公司:
為進一步貫徹落實創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略,提升銀行業(yè)網(wǎng)絡安全保障能力和信息化建設水平,,推動銀行業(yè)深化改革,、發(fā)展轉(zhuǎn)型,促進戰(zhàn)略新興產(chǎn)業(yè)發(fā)展,,現(xiàn)就應用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡安全和信息化建設提出以下指導意見,。
一、總體目標
建立銀行業(yè)應用安全可控信息技術(shù)的長效機制,,制定配套政策,,建立推進平臺,大力推廣使用能夠滿足銀行業(yè)信息安全需求,,技術(shù)風險、外包風險和供應鏈風險可控的信息技術(shù),。到2019年,,掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù);實現(xiàn)銀行業(yè)關(guān)鍵網(wǎng)絡和信息基礎(chǔ)設施的合理分布,,關(guān)鍵設施和服務的集中度風險得到有效緩解,;安全可控信息技術(shù)在銀行業(yè)總體達到75%左右的使用率,,銀行業(yè)網(wǎng)絡安全保障能力不斷加強;信息化建設水平穩(wěn)步提升,,更好地保護消費者權(quán)益,,維護經(jīng)濟社會安全穩(wěn)定。
二,、指導原則
�,。ㄒ唬﹫猿珠_放合作。兼容并蓄,,凝聚各方智慧和力量,,優(yōu)先應用開放性強、透明度高,、適用面廣的技術(shù)和解決方案,,優(yōu)先選擇愿意在核心知識和關(guān)鍵技術(shù)領(lǐng)域進行合作的機構(gòu),避免對單一產(chǎn)品或技術(shù)的依賴,。
�,。ǘ┕膭钭灾鲃�(chuàng)新。充分認識創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略的重要意義,,鼓勵原始創(chuàng)新,、集成創(chuàng)新和引進消化吸收再創(chuàng)新,構(gòu)建高效穩(wěn)健的共性關(guān)鍵技術(shù)供給體系,,掌握銀行業(yè)信息化核心知識和關(guān)鍵技術(shù),。
(三)發(fā)揮市場作用,。加快建立高效的創(chuàng)新體系,,激發(fā)各類創(chuàng)新主體的積極性,以銀行業(yè)信息化需求培育和帶動市場,,以信息產(chǎn)業(yè)發(fā)展促進銀行業(yè)發(fā)展轉(zhuǎn)型,,主動把握新興技術(shù)發(fā)展機遇,推動銀行業(yè)信息化創(chuàng)新發(fā)展,,促進信息產(chǎn)業(yè)做大做強,。
(四)加強協(xié)同合作,。統(tǒng)籌規(guī)劃,,加強政、產(chǎn),、學,、研協(xié)同合作,營造安全可控信息技術(shù)研究、發(fā)展和應用的良性互動環(huán)境,,形成“需求拉動,、產(chǎn)業(yè)推動、科研驅(qū)動”的良性循環(huán),。
三,、任務要求
(一)完善信息科技治理機制,。銀行業(yè)金融機構(gòu)應將提升網(wǎng)絡安全保障能力和信息化建設能力納入戰(zhàn)略目標,,將安全可控信息技術(shù)應用納入戰(zhàn)略規(guī)劃;建立以安全可控,、自主創(chuàng)新為導向的制度體系,,明確目標、策略與職責分工,;加強創(chuàng)新組織建設和人才培養(yǎng),,保障創(chuàng)新資源;有序推進整體架構(gòu)自主設計,、核心應用自主研發(fā),、核心知識自主掌握、關(guān)鍵技術(shù)自主應用等重點工作,。
�,。ǘ﹥�(yōu)化信息系統(tǒng)架構(gòu)。銀行業(yè)金融機構(gòu)要建立安全,、可靠,、高效、開放,、彈性的信息系統(tǒng)總體架構(gòu),,在架構(gòu)規(guī)劃和設計過程中應充分考慮安全可控;掌握關(guān)鍵技術(shù)的選擇權(quán),,擺脫在關(guān)鍵信息和網(wǎng)絡基礎(chǔ)設施領(lǐng)域?qū)我患夹g(shù)和產(chǎn)品的依賴,。從戰(zhàn)略角度規(guī)劃和建設業(yè)務連續(xù)性系統(tǒng)架構(gòu),應當至少有一種基于安全可控信息技術(shù)架構(gòu)的數(shù)據(jù)級或應用級存儲,、備份,、歸檔和容災等一體化的業(yè)務連續(xù)性方案。
�,。ㄈ﹥�(yōu)先應用安全可控信息技術(shù),。銀行業(yè)金融機構(gòu)應客觀評估自身信息化需求和信息科技風險情況,開展差距分析,,按年度制定應用推進計劃,;建立科學合理的信息技術(shù)和產(chǎn)品選型理念,,選擇與本單位信息化需求相匹配的技術(shù)與產(chǎn)品,避免一味求大求全,。在涉及客戶敏感數(shù)據(jù)的信息處理環(huán)節(jié),應優(yōu)先使用安全可靠,、風險可控的信息技術(shù)和服務,,當前重點在網(wǎng)絡設備、存儲,、中低端服務器,、信息安全、運維服務,、文字處理軟件等領(lǐng)域積極推進,,在操作系統(tǒng)、數(shù)據(jù)庫等領(lǐng)域要加大探索和嘗試力度,;從2015年起,,各銀行業(yè)金融機構(gòu)對安全可控信息技術(shù)的應用以不低于15%的比例逐年增加,直至2019年達到不低于75%的總體占比(2014年應用的技術(shù)和產(chǎn)品可納入2015年度計算),。
�,。ㄋ模┓e極推動信息技術(shù)自主創(chuàng)新。銀行業(yè)金融機構(gòu)應積極嘗試應用安全可靠,、自主創(chuàng)新的信息技術(shù),,通過應用提出改進需求,增強創(chuàng)新技術(shù)的適應性和健壯性,;探索通過統(tǒng)一標準,、統(tǒng)籌產(chǎn)品、聯(lián)合攻關(guān),、試點示范等,,加快自主創(chuàng)新信息技術(shù)應用磨合適配及系統(tǒng)性優(yōu)化。在技術(shù)選型中,,如存在安全可靠的自主創(chuàng)新產(chǎn)品和技術(shù),,應至少引入一家此類產(chǎn)品或技術(shù)進行選型和測試;對提供專用設備或集成解決方案的供應商,,應要求其方案使用的硬件和軟件至少能夠各應用一項安全可靠的自主創(chuàng)新產(chǎn)品或技術(shù),。
(五)積極參與安全可控信息技術(shù)研發(fā),。銀行業(yè)金融機構(gòu)應加強與產(chǎn)業(yè)機構(gòu),、大學和科研機構(gòu)的合作,聯(lián)合開展關(guān)鍵技術(shù)的研發(fā)和生產(chǎn),,圍繞安全可控信息技術(shù)在銀行業(yè)應用的關(guān)鍵問題,,開展技術(shù)合作,實施技術(shù)轉(zhuǎn)移,形成高質(zhì)量,、具有行業(yè)推廣價值的科技成果,;在核心應用基礎(chǔ)架構(gòu)、操作系統(tǒng),、數(shù)據(jù)庫,、中間件和銀行業(yè)專用設備等領(lǐng)域加大研究力度,集中突破制約安全可控發(fā)展的關(guān)鍵技術(shù),。2015年起,,銀行業(yè)金融機構(gòu)應安排不低于5%的年度信息化預算,專門用于支持本機構(gòu)圍繞安全可控信息系統(tǒng)開展前瞻性,、創(chuàng)新性和規(guī)劃性研究,,支持本機構(gòu)掌握信息化核心知識和技能。
�,。┘訌娭R產(chǎn)權(quán)保護與標準規(guī)范建設,。銀行業(yè)金融機構(gòu)應加強知識產(chǎn)權(quán)保護意識,對各項研究成果及時申請技術(shù)專利保護,;應積極參與各類技術(shù)標準的研究和制定工作,,推進安全可控信息技術(shù)的標準化、專利化,。
四,、主要措施
(一)建立銀行業(yè)信息安全審查和風險評估制度,。依據(jù)國家網(wǎng)絡安全審查相關(guān)政策,,建立與銀行業(yè)信息安全需求相適應的配套政策,建立銀行業(yè)網(wǎng)絡安全審查標準,,加強銀行業(yè)專用信息技術(shù)和產(chǎn)品的安全檢測,;建立常態(tài)化的風險評估制度,建立信息技術(shù)在銀行業(yè)應用過程中的風險識別,、評估和控制機制,,加強功能測試、性能測試和安全性測試,;密切跟蹤安全可控信息技術(shù)的應用情況,,建立缺陷庫和風險庫,結(jié)合行業(yè)應用不斷促進技術(shù)的完善,。
�,。ǘ┙y行業(yè)安全可控信息技術(shù)落地推進平臺。組建銀行業(yè)安全可控信息技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟,,創(chuàng)建技術(shù)實驗室和國家工程實驗室,,研究挖掘銀行業(yè)應用安全可控信息技術(shù)的機會和需求,,協(xié)調(diào)銀行業(yè)金融機構(gòu)、信息技術(shù)企業(yè),、大學和研究機構(gòu)等共同推進安全可控信息技術(shù)的研究和推廣,。
(三)組織開展銀行業(yè)應用安全可控信息技術(shù)示范項目,。結(jié)合國家信息安全專項,、國家有關(guān)科技計劃和國家財政支持的其他項目,組織開展安全可控信息技術(shù)在銀行業(yè)的應用示范,,組織推動銀行業(yè)開展安全可控前瞻性研究;加強部門間協(xié)作,,加強政策協(xié)同,,加大力度支持銀行業(yè)應用安全可控信息技術(shù),以銀行業(yè)應用不斷完善安全可控信息技術(shù),,為安全可控信息技術(shù)創(chuàng)造市場空間,。
(四)制定銀行業(yè)應用安全可控信息技術(shù)推進指南,。依托銀行業(yè)安全可控信息技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟和技術(shù)實驗室,、國家工程實驗室,分析銀行業(yè)應用需求,,解決共性問題,,逐年制定推進指南,對推進領(lǐng)域,、重點信息技術(shù)和產(chǎn)品以及推進方案予以細化,。各級工業(yè)和信息化主管部門應做好適用技術(shù)、產(chǎn)品,、服務及典型解決方案推介,,推動需求對接。
�,。ㄎ澹┏掷m(xù)監(jiān)督和評價,。建立銀行業(yè)金融機構(gòu)應用安全可控信息技術(shù)工作情況的監(jiān)督評價機制,通過安全可控信息技術(shù)應用率,、重要系統(tǒng)自主掌控率,、自主創(chuàng)新信息技術(shù)試用情況等指標評估安全可控能力成熟度;逐年對銀行業(yè)金融機構(gòu)應用安全可控信息技術(shù)情況進行考核,,對納入監(jiān)管評級體系的機構(gòu),,考核結(jié)果并入機構(gòu)信息科技監(jiān)管評級。
