事實的確如此����,據相關人士透露�,1月15日,銀監(jiān)會組織了各銀行金融機構和各地銀監(jiān)分局的電視電話會議���,內容是關于2015年度銀行業(yè)應用安全可控信息技術推進指南��。會上傳達出了諸多文件精神��。
會議首先明確了銀監(jiān)會39號文的自主可控包含國產化的含義���,這是國家戰(zhàn)略發(fā)展的必然要求�����。
39號文里要求的兩個量化指標納入各行2015年年度考核�,這兩個量化指標一是從2015年起�,各銀行業(yè)金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年達到不低于75%的總體占比(2014年應用的技術和產品可納入2015年度計算)�����。
二是從2015年起��,銀行業(yè)金融機構應安排不低于5%的年度信息化預算��,專門用于支持本機構圍繞安全可控信息系統(tǒng)開展前瞻性��、創(chuàng)新性和規(guī)劃性研究��,支持本機構掌握信息化核心知識和技能�����。
會議要求�����,銀行業(yè)應該考慮使用國產產品�����,但自主可控的目標不是單純的產品替代����,而是自主的解決方案和技術體系的轉型。
會上對IT資產分類和各資產對應的安全可控指標進行了解釋���。
據悉�,本次會議對各行明確了工作要求���,如明確牽頭部門��,制定5年規(guī)劃和2015年實施計劃等等�����,2015年要求至少完成一個信息系統(tǒng)的遷移�����,生產�、災備;至少實現(xiàn)一個數(shù)據級災備系統(tǒng)主要部件采用國產設備或軟件��。
會議要求2015年度內不建議再新采購大型機?���,F(xiàn)在使用大型機的銀行,2015年必須開展替代解決方案的研究和遷移工作����。
從目前的政策趨勢來看,無論是政府采購還是金融采購�����,去IOE的進程都在提速��,這對于之前依賴金融客戶起家的外企如IBM����、EMC����、ORACLE等會產生極大影響����,而國內眾多IT廠商或將收益��,尤其是像華為�����、浪潮等基礎軟硬件廠商將迎來重大利好�����。
附:
中國銀行業(yè)監(jiān)督管理委員會(銀監(jiān)發(fā)[2014]39號)
《 關于應用安全可控信息技術加強銀行業(yè)網絡安全和信息化建設的指導意見 》
為進一步貫徹落實創(chuàng)新驅動發(fā)展戰(zhàn)略���,提升銀行業(yè)網絡安全保障能力和信息化建設水平�����,推動銀行業(yè)深化改革�、發(fā)展轉型,促進戰(zhàn)略新興產業(yè)發(fā)展��,現(xiàn)就應用安全可控信息技術加強銀行業(yè)網絡安全和信息化建設提出以下指導意見���。
一�����、總體目標
建 立銀行業(yè)應用安全可控信息技術的長效機制��,制定配套政策���,建立推進平臺,大力推廣使用能夠滿足銀行業(yè)信息安全需求��,技術風險�����、外包風險和供應鏈風險可控的 信息技術�����。 到2019年���, 掌握銀行業(yè)信息化的核心知識和關鍵技術�;實現(xiàn)銀行業(yè)關鍵網絡和信息基礎設施的合理分布,關鍵設施和服務的集中度風險得到有效緩解�;安全可控信息技術在銀行業(yè)總體達到75%左右的使用率,銀行業(yè)網絡安全保障能力不斷加強��;信息化建設水平穩(wěn)步提升��,更好地保護消費者權益��,維護經濟社會安全穩(wěn)定��。
二��、指導原則
(一)堅持開放合作���。兼容并蓄,凝聚各方智慧和力量����,優(yōu)先應用開放性強、透明度高�、適用面廣的技術和解決方案, 優(yōu)先選擇愿意在核心知識和關鍵技術領域進行合作的機構 ���, 避免對單一產品或技術的依賴 �����。
(二)鼓勵自主創(chuàng)新����。充分認識創(chuàng)新驅動發(fā)展戰(zhàn)略的重要意義,鼓勵原始創(chuàng)新�、集成創(chuàng)新和引進消化吸收再創(chuàng)新,構建高效穩(wěn)健的共性關鍵技術供給體系��,掌握銀行業(yè)信息化核心知識和關鍵技術�����。
(三)發(fā)揮市場作用�。加快建立高效的創(chuàng)新體系,激發(fā)各類創(chuàng)新主體的積極性���,以銀行業(yè)信息化需求培育和帶動市場��,以信息產業(yè)發(fā)展促進銀行業(yè)發(fā)展轉型����,主動把握新興技術發(fā)展機遇,推動銀行業(yè)信息化創(chuàng)新發(fā)展�����,促進信息產業(yè)做大做強���。
(四)加強協(xié)同合作����。統(tǒng)籌規(guī)劃��,加強政�����、產���、學、研協(xié)同合作�����,營造安全可控信息技術研究����、發(fā)展和應用的良性互動環(huán)境�,形成“需求拉動��、產業(yè)推動���、科研驅動”的良性循環(huán)�。
三�����、任務要求
(一)完善信息科技治理機制����。銀行業(yè)金融機構應將提升網絡安全保障能力和信息化建設能力納入戰(zhàn)略目標,將安全可控信息技術應用納入戰(zhàn)略規(guī)劃�;建立以安全可控、自主創(chuàng)新為導向的制度體系�,明確目標、策略與職責分工���;加強創(chuàng)新組織建設和人才培養(yǎng)����,保障創(chuàng)新資源;有序推進整體架構自主設計����、核心應用自主研發(fā)、核心知識自主掌握�����、關鍵技術自主應用等重點工作��。
(二)優(yōu)化信息系統(tǒng)架構�。銀行業(yè)金融機構要建立安全、可靠��、高效�����、開放�����、彈性的信息系統(tǒng)總體架構����,在架構規(guī)劃和設計過程中應充分考慮安全可控;掌握關鍵技術的選擇權����,擺脫在關鍵信息和網絡基礎設施領域對單一技術和產品的依賴。從戰(zhàn)略角度規(guī)劃和建設業(yè)務連續(xù)性系統(tǒng)架構�����,應當至少有一種基于安全可控信息技術架構的數(shù)據級或應用級存儲���、備份�����、歸檔和容災等一體化的業(yè)務連續(xù)性方案���。
(三) 優(yōu)先應用安全可控信息技術。銀行業(yè)金融機構應客觀評估自身信息化需求和信息科技風險情況���,開展差距分析���,按年度制定應用推進計劃;建立科學合理的信息技術 和產品選型理念����,選擇與本單位信息化需求相匹配的技術與產品����,避免一味求大求全�。在涉及客戶敏感數(shù)據的信息處理環(huán)節(jié),應優(yōu)先使用安全可靠����、風險可控的信息 技術和服務.
當前重點在網絡設備、存儲��、中低端服務器�����、信息安全��、運維服務�、文字處理軟件等領域積極推進,在操作系 統(tǒng)����、數(shù)據庫等領域要加大探索和嘗試力度;從2015年起��,各銀行業(yè)金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加�,直至2019年達到不 低于75%的總體占比(2014年應用的技術和產品可納入2015年度計算)。
(四)積極推動信息技術自主創(chuàng)新�。銀行業(yè)金融機構應積極嘗試應用安全可靠、自主創(chuàng)新的信息技術��,通過應用提出改進需求���,增強創(chuàng)新技術的適應性和健壯性�;探索通過統(tǒng)一標準����、統(tǒng)籌產品、聯(lián)合攻關���、試點示范等����,加快自主創(chuàng)新信息技術應用磨合適配及系統(tǒng)性優(yōu)化����。
在技術選型中,如存在安全可靠的自主創(chuàng)新產品和技術,應至少引入一家此類產品或技術進行選型和測試���;對提供專用設備或集成解決方案的供應商����,應要求其方案使用的硬件和軟件至少能夠各應用一項安全可靠的自主創(chuàng)新產品或技術���。
(五) 積極參與安全可控信息技術研發(fā)����。銀行業(yè)金融機構應加強與產業(yè)機構����、大學和科研機構的合作,聯(lián)合開展關鍵技術的研發(fā)和生產�����,圍繞安全可控信息技術在銀行業(yè)應 用的關鍵問題��,開展技術合作��,實施技術轉移���,形成高質量�����、具有行業(yè)推廣價值的科技成果���;在核心應用基礎架構、操作系統(tǒng)��、數(shù)據庫���、中間件和銀行業(yè)專用設備等 領域加大研究力度�,集中突破制約安全可控發(fā)展的關鍵技術��。
2015年起���,銀行業(yè)金融機構應安排不低于5%的年度信息化預算���,專門用于支持本機構圍繞安全可控信息系統(tǒng)開展前瞻性、創(chuàng)新性和規(guī)劃性研究���,支持本機構掌握信息化核心知識和技能�。
(六)加強知識產權保護與標準規(guī)范建設。銀行業(yè)金融機構應加強知識產權保護意識��,對各項研究成果及時申請技術專利保護�����;應積極參與各類技術標準的研究和制定工作�����,推進安全可控信息技術的標準化���、專利化����。
四����、主要措施
(一) 建立銀行業(yè)信息安全審查和風險評估制度。依據國家網絡安全審查相關政策�����,建立與銀行業(yè)信息安全需求相適應的配套政策�����,建立銀行業(yè)網絡安全審查標準,加強銀 行業(yè)專用信息技術和產品的安全檢測����;建立常態(tài)化的風險評估制度,建立信息技術在銀行業(yè)應用過程中的風險識別���、評估和控制機制,加強功能測試��、性能測試和安 全性測試����;密切跟蹤安全可控信息技術的應用情況,建立缺陷庫和風險庫��,結合行業(yè)應用不斷促進技術的完善��。
(二)建立銀行業(yè)安全可控信息技術落地推進平臺��。組建銀行業(yè)安全可控信息技術創(chuàng)新戰(zhàn)略聯(lián)盟�����,創(chuàng)建技術實驗室和國家工程實驗室,研究挖掘銀行業(yè)應用安全可控信息技術的機會和需求����,協(xié)調銀行業(yè)金融機構、信息技術企業(yè)����、大學和研究機構等共同推進安全可控信息技術的研究和推廣。
(三) 組織開展銀行業(yè)應用安全可控信息技術示范項目���。結合國家信息安全專項�����、國家有關科技計劃和國家財政支持的其他項目����,組織開展安全可控信息技術在銀行業(yè)的應 用示范�,組織推動銀行業(yè)開展安全可控前瞻性研究;加強部門間協(xié)作��,加強政策協(xié)同�����,加大力度支持銀行業(yè)應用安全可控信息技術,以銀行業(yè)應用不斷完善安全可控 信息技術����,為安全可控信息技術創(chuàng)造市場空間。
(四)制定銀行業(yè)應用安全可控信息技術推進指南�。依托銀行業(yè)安全可控信 息技術創(chuàng)新戰(zhàn)略聯(lián)盟和技術實驗室、國家工程實驗室�,分析銀行業(yè)應用需求,解決共性問題��,逐年制定推進指南����,對推進領域�����、重點信息技術和產品以及推進方案予 以細化�。各級工業(yè)和信息化主管部門應做好適用技術、產品��、服務及典型解決方案推介�,推動需求對接。
(五)持續(xù)監(jiān)督和 評價����。建立銀行業(yè)金融機構應用安全可控信息技術工作情況的監(jiān)督評價機制����,通過安全可控信息技術應用率��、重要系統(tǒng)自主掌控率����、自主創(chuàng)新信息技術試用情況等指 標評估安全可控能力成熟度;逐年對銀行業(yè)金融機構應用安全可控信息技術情況進行考核���,對納入監(jiān)管評級體系的機構�,考核結果并入機構信息科技監(jiān)管評級����。
