銀監會網站消息,銀監會印發關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見,提出到2019年,安全可控信息技術在銀行業總體達到75%左右的使用率。
指導意見提出總體目標為,建立銀行業應用安全可控信息技術的長效機制,制定配套政策,建立推進平臺,大力推廣使用能夠滿足銀行業信息安全需求,技術風險、外包風險和供應鏈風險可控的信息技術。到2019年,掌握銀行業信息化的核心知識和關鍵技術;實現銀行業關鍵網絡和信息基礎設施的合理分布,關鍵設施和服務的集中度風險得到有效緩解;安全可控信息技術在銀行業總體達到75%左右的使用率,銀行業網絡安全保障能力不斷加強;信息化建設水平穩步提升,更好地保護消費者權益,維護經濟社會安全穩定。
指導意見全文如下
中國銀行業監督管理委員會
銀監發[2014]39號
關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見
各銀監局、各省(自治區、直轄市及計劃單列市)發展改革委、科技廳(委、局)、工業和信息化主管部門、各政策性銀行、國有商業銀行、股份制商業銀行、金融資產管理公司、儲蓄銀行、各省級農村信用聯社,銀監會直接監管的信托公司、企業集團財務公司、金融租賃公司:
為進一步貫徹落實創新驅動發展戰略,提升銀行業網絡安全保障能力和信息化建設水平,推動銀行業深化改革、發展轉型,促進戰略新興產業發展,現就應用安全可控信息技術加強銀行業網絡安全和信息化建設提出以下指導意見。
一、總體目標
建立銀行業應用安全可控信息技術的長效機制,制定配套政策,建立推進平臺,大力推廣使用能夠滿足銀行業信息安全需求,技術風險、外包風險和供應鏈風險可控的信息技術。到2019年,掌握銀行業信息化的核心知識和關鍵技術;實現銀行業關鍵網絡和信息基礎設施的合理分布,關鍵設施和服務的集中度風險得到有效緩解;安全可控信息技術在銀行業總體達到75%左右的使用率,銀行業網絡安全保障能力不斷加強;信息化建設水平穩步提升,更好地保護消費者權益,維護經濟社會安全穩定。
二、指導原則
(一)堅持開放合作。兼容并蓄,凝聚各方智慧和力量,優先應用開放性強、透明度高、適用面廣的技術和解決方案,優先選擇愿意在核心知識和關鍵技術領域進行合作的機構,避免對單一產品或技術的依賴。
(二)鼓勵自主創新。充分認識創新驅動發展戰略的重要意義,鼓勵原始創新、集成創新和引進消化吸收再創新,構建高效穩健的共性關鍵技術供給體系,掌握銀行業信息化核心知識和關鍵技術。
(三)發揮市場作用。加快建立高效的創新體系,激發各類創新主體的積極性,以銀行業信息化需求培育和帶動市場,以信息產業發展促進銀行業發展轉型,主動把握新興技術發展機遇,推動銀行業信息化創新發展,促進信息產業做大做強。
(四)加強協同合作。統籌規劃,加強政、產、學、研協同合作,營造安全可控信息技術研究、發展和應用的良性互動環境,形成“需求拉動、產業推動、科研驅動”的良性循環。
三、任務要求
(一)完善信息科技治理機制。銀行業金融機構應將提升網絡安全保障能力和信息化建設能力納入戰略目標,將安全可控信息技術應用納入戰略規劃;建立以安全可控、自主創新為導向的制度體系,明確目標、策略與職責分工;加強創新組織建設和人才培養,保障創新資源;有序推進整體架構自主設計、核心應用自主研發、核心知識自主掌握、關鍵技術自主應用等重點工作。
(二)優化信息系統架構。銀行業金融機構要建立安全、可靠、高效、開放、彈性的信息系統總體架構,在架構規劃和設計過程中應充分考慮安全可控;掌握關鍵技術的選擇權,擺脫在關鍵信息和網絡基礎設施領域對單一技術和產品的依賴。從戰略角度規劃和建設業務連續性系統架構,應當至少有一種基于安全可控信息技術架構的數據級或應用級存儲、備份、歸檔和容災等一體化的業務連續性方案。
(三)優先應用安全可控信息技術。銀行業金融機構應客觀評估自身信息化需求和信息科技風險情況,開展差距分析,按年度制定應用推進計劃;建立科學合理的信息技術和產品選型理念,選擇與本單位信息化需求相匹配的技術與產品,避免一味求大求全。在涉及客戶敏感數據的信息處理環節,應優先使用安全可靠、風險可控的信息技術和服務,當前重點在網絡設備、存儲、中低端服務器、信息安全、運維服務、文字處理軟件等領域積極推進,在操作系統、數據庫等領域要加大探索和嘗試力度;從2015年起,各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年達到不低于75%的總體占比(2014年應用的技術和產品可納入2015年度計算)。
(四)積極推動信息技術自主創新。銀行業金融機構應積極嘗試應用安全可靠、自主創新的信息技術,通過應用提出改進需求,增強創新技術的適應性和健壯性;探索通過統一標準、統籌產品、聯合攻關、試點示范等,加快自主創新信息技術應用磨合適配及系統性優化。在技術選型中,如存在安全可靠的自主創新產品和技術,應至少引入一家此類產品或技術進行選型和測試;對提供專用設備或集成解決方案的供應商,應要求其方案使用的硬件和軟件至少能夠各應用一項安全可靠的自主創新產品或技術。
(五)積極參與安全可控信息技術研發。銀行業金融機構應加強與產業機構、大學和科研機構的合作,聯合開展關鍵技術的研發和生產,圍繞安全可控信息技術在銀行業應用的關鍵問題,開展技術合作,實施技術轉移,形成高質量、具有行業推廣價值的科技成果;在核心應用基礎架構、操作系統、數據庫、中間件和銀行業專用設備等領域加大研究力度,集中突破制約安全可控發展的關鍵技術。2015年起,銀行業金融機構應安排不低于5%的年度信息化預算,專門用于支持本機構圍繞安全可控信息系統開展前瞻性、創新性和規劃性研究,支持本機構掌握信息化核心知識和技能。
(六)加強知識產權保護與標準規范建設。銀行業金融機構應加強知識產權保護意識,對各項研究成果及時申請技術專利保護;應積極參與各類技術標準的研究和制定工作,推進安全可控信息技術的標準化、專利化。
四、主要措施
(一)建立銀行業信息安全審查和風險評估制度。依據國家網絡安全審查相關政策,建立與銀行業信息安全需求相適應的配套政策,建立銀行業網絡安全審查標準,加強銀行業專用信息技術和產品的安全檢測;建立常態化的風險評估制度,建立信息技術在銀行業應用過程中的風險識別、評估和控制機制,加強功能測試、性能測試和安全性測試;密切跟蹤安全可控信息技術的應用情況,建立缺陷庫和風險庫,結合行業應用不斷促進技術的完善。
(二)建立銀行業安全可控信息技術落地推進平臺。組建銀行業安全可控信息技術創新戰略聯盟,創建技術實驗室和國家工程實驗室,研究挖掘銀行業應用安全可控信息技術的機會和需求,協調銀行業金融機構、信息技術企業、大學和研究機構等共同推進安全可控信息技術的研究和推廣。
(三)組織開展銀行業應用安全可控信息技術示范項目。結合國家信息安全專項、國家有關科技計劃和國家財政支持的其他項目,組織開展安全可控信息技術在銀行業的應用示范,組織推動銀行業開展安全可控前瞻性研究;加強部門間協作,加強政策協同,加大力度支持銀行業應用安全可控信息技術,以銀行業應用不斷完善安全可控信息技術,為安全可控信息技術創造市場空間。
(四)制定銀行業應用安全可控信息技術推進指南。依托銀行業安全可控信息技術創新戰略聯盟和技術實驗室、國家工程實驗室,分析銀行業應用需求,解決共性問題,逐年制定推進指南,對推進領域、重點信息技術和產品以及推進方案予以細化。各級工業和信息化主管部門應做好適用技術、產品、服務及典型解決方案推介,推動需求對接。
(五)持續監督和評價。建立銀行業金融機構應用安全可控信息技術工作情況的監督評價機制,通過安全可控信息技術應用率、重要系統自主掌控率、自主創新信息技術試用情況等指標評估安全可控能力成熟度;逐年對銀行業金融機構應用安全可控信息技術情況進行考核,對納入監管評級體系的機構,考核結果并入機構信息科技監管評級。
