中国银监会办公厅、工业和信息化部办公厅关于印发银行业应用安全可控信息技术推进指南(2014-2015年度)的通知
(银监办发[2014]317号)
各银监局,各省(自治区、直辖市及计划单列市)工业和信息化主管部门,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
根据中国银监会、国家发展改革委、科技部、工业和信息化部《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发[2014]39号),银监会、工业和信息化部联合编制了《银行业应用安全可控信息技术推进指南(2014-2015年度)》,现印发给你们,请遵照执行。
中国银行业监督管理委员会办公厅
工业和信息化部办公厅
2014年12月26日
银行业应用安全可控信息技术推进指南
(2014-2015年度)
为推动安全可控信息技术在银行业的落地应用,防范银行业信息科技风险,根据中国银监会、国家发展改革委、科技部、工业和信息化部《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发[2014]39号,简称《指导意见》),及信息安全、保密等其他相关政策,制定本指南。
一、总则
(一)本指南旨在对《指导意见》提出的总体目标、任务要求、工作措施予以细化,对银行业信息化所涉及的技术、产品及服务明确安全可控要求,制定评价标准,从应用和研究两个方向细化任务要求,以指导和促进银行业金融机构掌握信息化核心知识和关键技术,提高银行业金融机构网络安全保障能力和信息化建设水平。
(二)安全可控信息技术是指能够满足银行业信息安全需求,且技术风险、外包风险和供应链风险可控的信息技术。其中,技术风险泛指与银行业金融机构信息资产相关的固有风险和操作风险,银行业金融机构不因采用任何技术、产品或服务而损失对技术风险的识别、监测和控制能力,信息技术企业应充分保障银行业金融机构识别技术风险的权利,并为识别和控制风险提供充分的知识、技能和工具支持。外包风险是指因信息科技外包而产生的科技能力丧失、业务中断、信息泄露等风险。供应链风险是指因技术、产品或服务供应渠道中断、知识产权限制而造成银行业金融机构无法获得必要的维修、支持、升级等服务,进而导致系统运行中断的风险。
(三)本指南按照结合实际、科学规划、稳步推进、动态调整的原则编制,并逐年进行修订。
(四)本指南适用于中华人民共和国境内依法设立的银行业金融机构。
(五)本指南有效期为自印发之日起至2015年12月31日止。
二、银行业信息技术资产分类和安全可控指标
(六)本指南建立银行业信息技术资产分类(简称IT资产分类)目录,结合银行业网络安全和信息化建设需求,针对每一类别,综合判断技术、产品和服务的提供能力,以安全可控为基本目标,提出差异化的工作要求、应用任务和研究任务,以及各类别安全可控比例的计算方法。银行业信息技术资产分类目录和安全可控指标(2014-2015年度)详见附表。
(七)IT资产分类由类别代码、名称、说明和相关引用标准等要素组成。类别分为大类和小类两个层次,并针对每一小类细化安全可控指标。
(八)安全可控指标由安全可控要求、年度应用任务、年度研究任务、评价方法等要素组成。安全可控要求明确了该类别技术、产品或服务是否安全可控的标准。应用任务明确了该类别资产当中安全可控信息技术的使用比例、使用程度要求,研究任务明确了在该类别开展相关研究的概要方向。评价方法明确了该类别安全可控信息技术使用率的计算方法。
(九)安全可控要求基于该类别技术、产品或服务的开放性、适用面和透明度制定,重点考察其安全性、兼容性是否经过技术和风险评测,考察其知识产权、研发生产的自主程度,考察其技术转移、知识转移程度和其提供方的持续服务能力。
(十)银行业金融机构应根据《指导意见》要求,按照到2019年末安全可控信息技术使用率达到75%的总体目标开展工作。对于本指南印发时已达到75%的资产类别,原则上应保持比例只增不减。
三、工作要求
(十一)加强组织领导。银行业金融机构应设立安全可控信息技术推进领导小组,负责制定安全可控信息技术推进战略规划和总体规划,审核和批准年度推进工作计划,统筹指导推进实施工作,保障本机构推进工作所需资源;应指定一个部门牵头组织推进实施工作,牵头部门负责制定年度推进工作计划,推动、协调各相关部门落实工作计划,负责信息报告和反馈;根据本机构实际情况,可组建若干专题实施小组,负责落实相关专题领域的具体应用任务和研究任务。
(十二)完善工作规划。修订和完善本机构信息科技发展战略规划,将安全可控信息技术推进工作目标、内容和措施纳入规划;制定涵盖2015-2019年的推进工作总体规划,明确总体安排和每一类别的推进目标、计划完成时限、实施方案,总体规划应根据落实情况、市场环境变化和监管要求逐年动态调整;制定年度安全可控信息技术推进实施工作计划,进一步细化年度应用和研究工作推进具体目标、内容和措施。
(十三)安排财务预算。根据年度应用和研究任务要求,结合本行信息化建设工作需要,将安全可控信息技术的应用和研究纳入财务预算,并分别明确年度信息化预算中安全可控信息技术的应用投入比例和研究投入比例,其中相关研究比例不低于年度信息化预算的5%。
(十四)完善制度流程。银行业金融机构应根据《指导意见》和本指南相关要求,完善预算、采购、开发、外包、运维、绩效考核等相关的制度流程,加强制度流程之间的配套协同,支持和保障本机构应用安全可控信息技术的推进工作。
(十五)实施架构转型。银行业金融机构应加强架构规划和设计能力,以开放、弹性为重点目标实施架构转型,为应用安全可控信息技术留出空间,2015年应至少完成一个开放弹性架构原型,并完成至少一个信息系统的迁移;完善信息系统灾备架构,数据级灾备方案原则上必须使用安全可控的信息技术构建,应用级灾备逐步向安全可控信息技术过渡,2015年应至少实现一种基于安全可控信息技术的数据级(或应用级)灾备方案。
(十六)加强研究创新。银行业金融机构应以安全可控为目标,开展治理机制、管理体系和技术体系创新研究,加强经验总结和知识积累;应积极挖掘银行业信息化安全可控需求,联合相关力量开展产品或解决方案研究,摆脱简单的替代思路,提升安全可控工作水平;应结合移动互联网、云计算、大数据开展创新研究,以技术创新带动产品创新、服务模式创新,提升客户体验;应积极参与银行业安全可控信息技术实验室的研究、测试工作;有条件的银行业金融机构要积极探索和建立技术输出机制。
(十七)发挥集约效应。银行业金融机构、信息技术企业应将基础性、通用性的测试、验证工作提交监管部门统筹安排,集约开展工作;银行业金融机构、信息技术企业已完成的各类测试验证和应用成果应及时报送监管部门,以便及时共享信息,避免重复工作;对于安全可控信息技术尝试和使用中出现的困难和问题,须及时提交监管部门协调解决,避免因问题搁置而阻碍推进工作。
四、工作评价
(十八)银监会及其派出机构将根据应用任务和研究任务完成情况,结合银行业金融机构对核心知识和关键技术的掌控能力和程度,按年度综合评价银行业金融机构安全可控能力成熟度,重点从安全可控信息技术使用率、重要信息系统可控率和研究工作开展情况等指标予以评估。
(十九)银监会将会同工业和信息化部按年度对相关信息技术企业支持、保障银行业开展安全可控信息技术应用工作进行评价,重点从兼容性、适用性、安全性、缺陷率、投诉率等指标予以评估。
(二十)安全可控信息技术使用率采取“先分类、后总体”的评价方式。对硬件主要以符合安全可控要求的设备数量相对该类设备总量之比计算,对软件主要以符合安全可控要求的软件许可(或装机)数量相对该类软件许可(或装机)总量之比计算,对服务主要以符合安全可控要求的服务合同金额相对该类服务合同总金额之比计算。安全可控信息技术使用率的总体评价由监管部门根据不同银行类型,在分类评价结果的基础上,综合考虑应用效果是否能够促进架构转型、是否能够促进技术改进、是否能够推广应用等最终确定。
(二十一)重要信息系统可控率是银行业金融机构能够自主掌握的重要信息系统数量与重要信息系统总量之比。重要信息系统的定义参见《银行业重要信息系统投产及变更管理办法》(银监办发[2009]437号)。重要信息系统可控是指银行业金融机构能够掌握重要信息系统的设计原理、设计架构、源代码等核心知识和关键技术,拥有该系统完备可用的资料,具有自行开展系统维护的能力。
(二十二)研究工作的评价重点是考察《指导意见》和本指南确定的相关研究任务的完成情况,并结合信息化投入中5%的研究预算落实情况综合考虑。银行业金融机构的研究预算可用于开展各类课题研究、研制解决方案、申请专利、培养专业人才等方面,可以包括相关设备投入、培训投入、测试投入及相关的出版、专利、国际交流费用。研究任务和研究投入情况评价与研究结果的成效挂钩。
五、保障措施
(二十三)建立银行业安全可控信息技术创新战略联盟和安全可控信息技术实验室,统筹开展重大、共性、疑难问题的攻关研究,提供安全可控解决方案,建立安全可控标准和测试规范,统筹开展安全可控信息技术测试,总结和发布安全可控工作成果。
(二十四)建立银行业信息科技风险评估制度和工作机制,开展安全可控评价工作,明确评价内容、标准和流程,规范风险控制措施。
(二十五)建立信息报送和通报制度,结合IT资产分类目录,及时掌握银行业安全可控信息技术应用推进情况和研究进展情况,定期对工作推进情况、测试结果、重要研究成果、主要困难和难点问题进行通报;对有关备案情况进行公告。
(二十六)建立银行业应用安全可控信息技术示范项目遴选机制,为促进经验分享,每年开展一次示范项目遴选,对确立为示范项目的项目成果进行分类,示范项目可按照分类提升相关研究投入的折算系数,示范项目相关的技术成果纳入下一年度优先推广范围,并由战略联盟或技术实验室根据项目研发投入情况给予适当经费补偿。
(二十七)建立监管激励机制,将安全可控信息技术推进工作纳入监管评级要素,并根据工作推进情况和推进目标需要,定期调整要素权重,对推进进度较快、创新力度较大的银行业金融机构,在信息科技监管评级等方面予以加分,并适当提升其信息科技风险容忍度。
(二十八)建立对信息技术企业的评价反馈机制,战略联盟和技术实验室对信息技术企业开展持续监测和评价,对积极配合银行业安全可控信息技术推进工作、加大安全可控关键技术及产品研发投入、积极提升产品质量和服务能力、规范经营的企业予以鼓励,对其相关的技术、产品和服务予以优先推广;对存在问题的企业及其产品和服务,通过产品缺陷发布、风险提示等方式及时进行通报,引导银行业金融机构规避相关风险。
(二十九)银行业信息科技风险管理高层指导委员会将通过专家库管理、专业指导和课题研究等工作机制,加大对银行业应用安全可控信息技术推进工作的指导和支持。
六、工作安排
(三十)银监会及其派出机构按照属地监管原则,分工负责相关银行业金融机构的推进工作,包括掌握工作规划、督导工作实施、核实工作进展、实施监管评级等。
(三十一)各地方工业和信息化主管部门要将支持指导银行业金融机构开展安全可控信息技术推进工作纳入2015年工作重点,支持信息技术企业面向银行业需求开展安全可控信息技术研发,加强人才队伍培养,有条件的地方应对银行业应用安全可控信息技术示范项目和第三方测试机构安全可控技术风险评估能力建设给予一定资金支持。
(三十二)请各银行业金融机构于2015年3月15日前将下列材料按照属地监管原则报送银监会或其派出机构:本机构应用安全可控信息技术推进领导小组、牵头部门和专题小组(如有)的组成及职责;涵盖安全可控信息技术推进工作的战略规划(或其修订草案)、总体规划和年度工作计划。上述材料均报送电子版,其中报送函件须加盖公章。请各银监局汇总辖内银行业金融机构上述材料,于2015年3月30日前报送至银监会联系人。
(三十三)请各地方工业和信息化主管部门明确工作负责处室和联络人,于2015年3月15日前报送工业和信息化部(软件服务业司),并配合银监会及其派出机构做好银行业安全可控信息技术推进工作,及时反馈工作问题和进展。
(三十四)请各银行业金融机构根据附表做好资产清查盘点准备工作,摸清底数,银监会将另行通知报送有关信息。
(三十五)请各银行业金融机构、各信息技术企业对测试验证需求、解决方案需求和有关困难及时汇总整理,自2015年1月1日起,可随时向银行业监管机构提交此类需求和问题,监管机构将统筹委托银行业安全可控信息技术实验室或其他第三方机构予以安排。
(三十六)附表中涉及备案和风险评估要求的,各信息技术企业于2015年4月1日起可向银监会信科部提交申请,具体流程另行公布。
联系人:文继跃
电话:010-66278585
邮箱:wenjiyue@cbrc. gov. cn
附件:银行业信息技术资产分类目录和安全可控指标(2014-2015年度)(略)
中国银监会办公厅
2014年12月29日
