《安全可控推进指南国产化安全可控》由会员分享,可在线阅读,更多相关《安全可控推进指南国产化安全可控(13页珍藏版)》请在金锄头文库上搜索。
1、1 银行业应用安全可控信息技术推进指南 (20142015 年度) 为推动安全可控信息技术在银行业的落地应用, 防范银行业信息科技风险,根据中国银监会、国家发 展改革委、科技部、工业和信息化部关于应用安全 可控信息技术加强银行业网络安全和信息化建设的指 导意见 (银监发201439 号,简称指导意见 ), 及信息安全、保密等其他相关政策,制定本指南。 一、总则 (一)本指南旨在对指导意见提出的总体目 标、任务要求、工作措施予以细化,对银行业信息化 所涉及的技术、产品及服务明确安全可控要求,制定 评价标准,从应用和研究两个方向细化任务要求,以 指导和促进银行业金融机构掌握信息化核心知识和关 键技
2、术,提高银行业金融机构网络安全保障能力和信 息化建设水平。 (二)安全可控信息技术是指能够满足银行业信 息安全需求,且技术风险、外包风险和供应链风险可 控的信息技术。其中,技术风险泛指与银行业金融机 2 构信息资产相关的固有风险和操作风险,银行业金融 机构不因采用任何技术、产品或服务而损失对技术风 险的识别、监测和控制能力,信息技术企业应充分保 障银行业金融机构识别技术风险的权利,并为识别和 控制风险提供充分的知识、技能和工具支持。外包风 险是指因信息科技外包而产生的科技能力丧失、业务 中断、信息泄露等风险。供应链风险是指因技术、产 品或服务供应渠道中断、知识产权限制而造成银行业 金融机构无法
3、获得必要的维修、支持、升级等服务, 进而导致系统运行中断的风险。 (三)本指南按照结合实际、科学规划、稳步推 进、动态调整的原则编制,并逐年进行修订。 (四)本指南适用于中华人民共和国境内依法设 立的银行业金融机构。 (五)本指南有效期为自印发之日起至 2015 年 12 月 31 日止。 二、银行业信息技术资产分类和安全可控指标 (六)本指南建立银行业信息技术资产分类(简 称 IT 资产分类) 目录, 结合银行业网络安全和信息化 建设需求,针对每一类别,综合判断技术、产品和服 3 务的提供能力,以安全可控为基本目标,提出差异化 的工作要求、应用任务和研究任务,以及各类别安全 可控比例的计算方
4、法。银行业信息技术资产分类目录 和安全可控指标(20142015 年度)详见附表。 (七)IT 资产分类由类别代码、名称、说明和相 关引用标准等要素组成。类别分为大类和小类两个层 次,并针对每一小类细化安全可控指标。 (八)安全可控指标由安全可控要求、年度应用 任务、年度研究任务、评价方法等要素组成。安全可 控要求明确了该类别技术、产品或服务是否安全可控 的标准。应用任务明确了该类别资产当中安全可控信 息技术的使用比例、使用程度要求,研究任务明确了 在该类别开展相关研究的概要方向。评价方法明确了 该类别安全可控信息技术使用率的计算方法。 (九)安全可控要求基于该类别技术、产品或服 务的开放性、
5、适用面和透明度制定,重点考察其安全 性、兼容性是否经过技术和风险评测,考察其知识产 权、研发生产的自主程度,考察其技术转移、知识转 移程度和其提供方的持续服务能力。 (十)银行业金融机构应根据 指导意见 要求, 4 按照到2019年末安全可控信息技术使用率达到75%的 总体目标开展工作。对于本指南印发时已达到 75%的 资产类别,原则上应保持比例只增不减。 三、工作要求 (十一)加强组织领导。银行业金融机构应设立 安全可控信息技术推进领导小组,负责制定安全可控 信息技术推进战略规划和总体规划,审核和批准年度 推进工作计划,统筹指导推进实施工作,保障本机构 推进工作所需资源;应指定一个部门牵头组
6、织推进实 施工作, 牵头部门负责制定年度推进工作计划, 推动、 协调各相关部门落实工作计划, 负责信息报告和反馈; 根据本机构实际情况,可组建若干专题实施小组,负 责落实相关专题领域的具体应用任务和研究任务。 (十二)完善工作规划。修订和完善本机构信息 科技发展战略规划,将安全可控信息技术推进工作目 标、内容和措施纳入规划;制定涵盖 2015-2019 年的 推进工作总体规划,明确总体安排和每一类别的推进 目标、计划完成时限、实施方案,总体规划应根据落 实情况、市场环境变化和监管要求逐年动态调整;制 定年度安全可控信息技术推进实施工作计划,进一步 5 细化年度应用和研究工作推进具体目标、 内容
7、和措施。 (十三)安排财务预算。根据年度应用和研究任 务要求,结合本行信息化建设工作需要,将安全可控 信息技术的应用和研究纳入财务预算,并分别明确年 度信息化预算中安全可控信息技术的应用投入比例和 研究投入比例,其中相关研究比例不低于年度信息化 预算的 5%。 (十四)完善制度流程。银行业金融机构应根据 指导意见和本指南相关要求,完善预算、采购、 开发、外包、运维、绩效考核等相关的制度流程,加 强制度流程之间的配套协同,支持和保障本机构应用 安全可控信息技术的推进工作。 (十五)实施架构转型。银行业金融机构应加强 架构规划和设计能力,以开放、弹性为重点目标实施 架构转型,为应用安全可控信息技术
8、留出空间,2015 年应至少完成一个开放弹性架构原型,并完成至少一 个信息系统的迁移;完善信息系统灾备架构,数据级 灾备方案原则上必须使用安全可控的信息技术构建, 应用级灾备逐步向安全可控信息技术过渡,2015 年应 至少实现一种基于安全可控信息技术的数据级(或应 6 用级)灾备方案。 (十六)加强研究创新。银行业金融机构应以安 全可控为目标,开展治理机制、管理体系和技术体系 创新研究,加强经验总结和知识积累;应积极挖掘银 行业信息化安全可控需求,联合相关力量开展产品或 解决方案研究,摆脱简单的替代思路,提升安全可控 工作水平;应结合移动互联网、云计算、大数据开展 创新研究, 以技术创新带动产
9、品创新、 服务模式创新, 提升客户体验;应积极参与银行业安全可控信息技术 实验室的研究、测试工作;有条件的银行业金融机构 要积极探索和建立技术输出机制。 (十七)发挥集约效应。银行业金融机构、信息 技术企业应将基础性、通用性的测试、验证工作提交 监管部门统筹安排, 集约开展工作; 银行业金融机构、 信息技术企业已完成的各类测试验证和应用成果应及 时报送监管部门, 以便及时共享信息, 避免重复工作; 对于安全可控信息技术尝试和使用中出现的困难和问 题,须及时提交监管部门协调解决,避免因问题搁置 而阻碍推进工作。 四、工作评价 7 (十八)银监会及其派出机构将根据应用任务 和研究任务完成情况,结合
10、银行业金融机构对核心知 识和关键技术的掌控能力和程度,按年度综合评价银 行业金融机构安全可控能力成熟度,重点从安全可控 信息技术使用率、重要信息系统可控率和研究工作开 展情况等指标予以评估。 (十九)银监会将会同工业和信息化部按年度对 相关信息技术企业支持、保障银行业开展安全可控信 息技术应用工作进行评价,重点从兼容性、适用性、 安全性、缺陷率、投诉率等指标予以评估。 (二十) 安全可控信息技术使用率采取 “先分类、 后总体”的评价方式。对硬件主要以符合安全可控要 求的设备数量相对该类设备总量之比计算,对软件主 要以符合安全可控要求的软件许可(或装机)数量相 对该类软件许可(或装机)总量之比计
11、算,对服务主 要以符合安全可控要求的服务合同金额相对该类服务 合同总金额之比计算。安全可控信息技术使用率的总 体评价由监管部门根据不同银行类型,在分类评价结 果的基础上,综合考虑应用效果是否能够促进架构转 型、是否能够促进技术改进、是否能够推广应用等最 8 终确定。 (二十一)重要信息系统可控率是银行业金融机 构能够自主掌握的重要信息系统数量与重要信息系统 总量之比。重要信息系统的定义参见银行业重要信 息系统投产及变更管理办法 (银监办发2009437 号) 。 重要信息系统可控是指银行业金融机构能够掌握 重要信息系统的设计原理、设计架构、源代码等核心 知识和关键技术,拥有该系统完备可用的资料
12、,具有 自行开展系统维护的能力。 (二十二)研究工作的评价重点是考察指导意 见和本指南确定的相关研究任务的完成情况,并结 合信息化投入中 5%的研究预算落实情况综合考虑。银 行业金融机构的研究预算可用于开展各类课题研究、 研制解决方案、申请专利、培养专业人才等方面,可 以包括相关设备投入、培训投入、测试投入及相关的 出版、专利、国际交流费用。研究任务和研究投入情 况评价与研究结果的成效挂钩。 五、保障措施 (二十三)建立银行业安全可控信息技术创新战 9 略联盟和安全可控信息技术实验室,统筹开展重大、 共性、 疑难问题的攻关研究, 提供安全可控解决方案, 建立安全可控标准和测试规范,统筹开展安全
13、可控信 息技术测试,总结和发布安全可控工作成果。 (二十四)建立银行业信息科技风险评估制度和 工作机制,开展安全可控评价工作,明确评价内容、 标准和流程,规范风险控制措施。 (二十五)建立信息报送和通报制度,结合 IT 资产分类目录,及时掌握银行业安全可控信息技术应 用推进情况和研究进展情况,定期对工作推进情况、 测试结果、重要研究成果、主要困难和难点问题进行 通报;对有关备案情况进行公告。 (二十六)建立银行业应用安全可控信息技术示 范项目遴选机制,为促进经验分享,每年开展一次示 范项目遴选, 对确立为示范项目的项目成果进行分类, 示范项目可按照分类提升相关研究投入的折算系数, 示范项目相关
14、的技术成果纳入下一年度优先推广范 围,并由战略联盟或技术实验室根据项目研发投入情 况给予适当经费补偿。 (二十七)建立监管激励机制,将安全可控信息 10 技术推进工作纳入监管评级要素,并根据工作推进情 况和推进目标需要,定期调整要素权重,对推进进度 较快、创新力度较大的银行业金融机构,在信息科技 监管评级等方面予以加分,并适当提升其信息科技风 险容忍度。 (二十八)建立对信息技术企业的评价反馈机制, 战略联盟和技术实验室对信息技术企业开展持续监测 和评价,对积极配合银行业安全可控信息技术推进工 作、加大安全可控关键技术及产品研发投入、积极提 升产品质量和服务能力、规范经营的企业予以鼓励, 对其
15、相关的技术、产品和服务予以优先推广;对存在 问题的企业及其产品和服务,通过产品缺陷发布、风 险提示等方式及时进行通报,引导银行业金融机构规 避相关风险。 (二十九)银行业信息科技风险管理高层指导委 员会将通过专家库管理、专业指导和课题研究等工作 机制,加大对银行业应用安全可控信息技术推进工作 的指导和支持。 六、工作安排 (三十) 银监会及其派出机构按照属地监管原则, 11 分工负责相关银行业金融机构的推进工作,包括掌握 工作规划、督导工作实施、核实工作进展、实施监管 评级等。 (三十一)各地方工业和信息化主管部门要将支 持指导银行业金融机构开展安全可控信息技术推进工 作纳入 2015 年工作
16、重点, 支持信息技术企业面向银行 业需求开展安全可控信息技术研发,加强人才队伍培 养,有条件的地方应对银行业应用安全可控信息技术 示范项目和第三方测试机构安全可控技术风险评估能 力建设给予一定资金支持。 (三十二)请各银行业金融机构于 2015 年 3 月 15 日前将下列材料按照属地监管原则报送银监会或 其派出机构:本机构应用安全可控信息技术推进领导 小组、牵头部门和专题小组(如有)的组成及职责; 涵盖安全可控信息技术推进工作的战略规划(或其修 订草案) 、 总体规划和年度工作计划。 上述材料均报送 电子版,其中报送函件须加盖公章。请各银监局汇总 辖内银行业金融机构上述材料,于 2015 年 3 月 30 日 前报送至银监会联系人。 (三十三)请各地方工业和信息化主管部门明确 12 工作负责处室和联络人,于 2015 年 3 月 15 日前报送 工业和信息化部 (软件服务业司) , 并配合银监会及其 派出机构做好银行业安全可控信息技术推进工作,及 时反馈工作问题和进展。 (三十四)请各银行业金融机构根据附表做好资 产清查盘点准备工作,摸清底数,
