中国银行业信息科技“十二五”发展规划监管指导意见之城市商业银行篇.doc

1、中国银行业信息科技“十二五”发展规划监管指导意见之城市商业银行篇中国银行业监督管理委员会二一一年六月目 录第一章 信息科技发展状况3第二章 面临的机遇和挑战6第三章 信息科技发展目标、原则与实施策略7第一节 总体目标7第二节 指导原则8第三节 实施策略8第四章 推进信息科技治理体系建设9第一节 完善信息科技组织体系，夯实信息科技治理基础9第二节 加强战略规划，提升信息科技规划前瞻性与指导性10第三节 健全决策机制，提升信息科技决策科学性10第四节 推进制度体系建设，加强信息科技规范化管理11第五节 加强队伍建设，提升信息科技核心专业能力11第六节 合理规划投入，支撑信息科技稳步发展12第五章

2、完善信息科技管理体系建设12第一节 加强信息科技风险管理体系建设，完善内控机制13第二节 加强基础设施建设，建立安全稳定的生产环境13第三节 规范开发流程管理，完善项目管理机制15第四节 加强运维管理，保障信息系统安全稳定运行15第五节 健全信息安全管理体系，加强重点领域信息安全管理16第六节 完善应急管理体系，提升业务连续性水平17第七节 加强信息科技外包管理，防范重点领域外包风险18第六章 深化信息科技应用19第一节 加强核心应用系统建设，提升客户服务水平与市场响应能力19第二节 推进电子银行建设，增强电子银行创新服务能力20第三节 推进管理信息系统建设，提高精细化管理水平22第四节 建立

3、风险管理信息基础环境，夯实全面风险管理基础23 第一章 信息科技发展状况“十一五”时期，我国城市商业银行（以下简称“城商行”）发展取得重大进步，治理机制逐步完善，经营管理不断改进，市场地位显著提高。信息科技有力推动了城商行业务创新与管理和服务水平提升，城商行信息科技组织与管理框架逐步形成，基础设施和生产运行环境基本稳定，应用系统体系覆盖主要传统业务、满足基本管理需求，运行维护和安全管理能力不断提高。 信息科技治理框架初步构建。对信息科技治理的重视程度逐步提高，部分银行机构设立了信息科技管理委员会，提高了信息科技规划与决策能力；信息科技风险管理和审计职能得到加强；制度体系建设与执行取得新的进展，

4、覆盖了系统开发测试、运行维护、信息安全等主要方面。 基础设施建设初具规模。逐年增加基础设施建设投入，大部分银行机构建立了满足业务发展需要的数据中心机房。通过网络宽带改造、系统扩容升级、安全设备部署等措施，提升网络和信息系统的处理能力和安全防控水平。部分银行机构开展灾备机房建设，为业务连续性提供基础设施保障。 运维管理水平明显提高。逐步建立起覆盖事件管理、问题管理、变更管理、配置管理等系统运行重要环节的运维管理体系和操作流程，重点加强生产变更管理。建立起重要信息系统、网络、机房环境监控体系。运行操作的合规性和可靠性得到提升，运维管理水平明显提高。 金融服务支撑能力稳步提升。信息系统规模不断扩大，

5、银行产品逐步丰富，业务范围从单一的存贷款业务发展到较为完整的金融产品体系，涵盖支付结算、信用卡、贸易融资、国际业务、理财服务等业务领域。通过加强服务渠道建设、积极拓展电子业务渠道，逐步实现柜面、自助银行、网上银行、电话银行、同业合作等服务渠道的多元化发展，渠道功能不断增强，服务水平不断提升，客户体验不断改善。 管理信息系统建设初见成效。通过建设办公自动化、信贷管理、报表平台、财务管理等系统，从传统的手工管理模式向管理信息化转变，初步形成电子化业务管理流程，提升了内部管理水平。通过建立、完善事后监督、内部审计、非现场报表、反洗钱、征信报送等风险管理类信息系统，提高了风险管理数据的时效性和准确性，

6、提升了风险管控能力。 信息科技安全管理体系逐步完善。信息安全意识逐步提高，逐步建立健全信息科技安全管理体系，明确职责分工，充实信息安全管理专业队伍，加大各类安全产品与技术的应用，开展信息安全风险评估，信息系统安全等级保护建设工作初见成效，信息安全管理水平不断提升。在充分肯定成绩的同时，也需要认识到存在的问题和不足，主要表现在以下方面： 信息科技治理水平有待提高。信息科技治理体系建设总体上处于起步阶段。董事会对信息科技建设和风险管理的重视和指导不够充分，信息科技管理委员会履职有待强化；大部分银行机构尚未设置首席信息官，信息科技风险“三道防线”机制尚未有效形成；信息科技发展战略不够清晰，信息科技规

7、划缺乏系统性与前瞻性。 信息科技队伍建设亟待加强。信息科技人员数量与快速增长的信息系统建设和运维需求之间缺口加大。操作系统、数据库、应用开发、信息安全管理等关键岗位的人员配备普遍不足，兼岗现象比较严重。信息科技人员结构失衡，缺乏信息科技规划、架构管理、项目管理、信息科技风险管理等领域的高端人才。大部分银行机构尚未建立信息科技人员职业发展规划与有效的激励机制。 应用系统架构亟需优化。对信息科技架构设计的重要性认识不足，大部分银行机构尚未系统地定制全行的应用系统架构。业务系统耦合程度较高，扩展性和灵活性不足，难以快速响应业务整合与产品创新的市场需求；尚未形成统一的客户信息视图，以账户为中心的应用系

8、统架构难以有效支持差异化营销服务和客户关系管理，难以满足客户日益增长的差异化、个性化金融服务需求。 信息科技风险管控能力有待提升。信息科技风险管理能力较为薄弱，制度建设与技术手段不足，信息安全策略覆盖不全面；在软件开发领域缺少安全需求分析、安全架构规划、详细安全设计、安全产品选择、安全测试等控制流程；外包风险管理体系不健全，外包管理策略、风险评估以及后评价机制缺失；应急管理组织架构不健全，应急预案完整性、可操作性与应急演练覆盖不足。 数据应用工作较为滞后。缺乏统一数据标准，大部分银行机构尚未建立适应经营管理、外部监管和信息披露要求的企业级数据平台。风险管理数据分散在各个应用系统中，缺乏统一规划

9、、部署与集中管理，报表可审计、可追溯性不足。风险分析、计量工作主要依赖于人工处理，缺乏有效的技术支撑，降低了风险分析的有效性。第二章 面临的机遇和挑战“十二五”时期，随着我国经济继续保持平稳较快发展，工业化、信息化、城镇化、市场化、国际化深入推进，经济结构战略性调整步伐加快，金融市场快速发展、体系日益完善，城商行面临更为充分的发展空间与发展机遇。城商行业务拓展、产品开发与金融服务创新迫切要求加快信息科技建设步伐，提高信息科技核心竞争力，提高信息科技管理能力，有力支持业务发展、产品创新，有效防范信息科技风险，保障业务持续稳定运行。未来五年，城商行经营发展环境面临重大而深刻的变化，在带来发展机遇的

10、同时，也提出了新的挑战。固有的过度依赖贷款增长、过度依赖存贷利差的发展盈利模式和风险管理模式已不可持续，传统的金融产品、服务方式和商业模式已不适应迅速变化的消费行为与商业营运模式。在新的形势与环境下，城商行需要尽快转变发展方式，实现集约式、内涵式、以效益和质量为核心的新发展模式。相对于大中型商业银行，城商行信息科技总体实力和建设水平还有较大差距。随着业务不断拓展、创新，信息系统规模和复杂程度日益增加，管理和整合的难度日益增大，与之相关联的信息科技风险日益凸显，信息科技人才匮乏问题愈加突出。全面风险管理和以客户为中心的流程银行建设需要，对信息科技规划与管理能力、创新能力以及支持保障能力提出了更高

11、要求。第三章 信息科技发展目标、原则与实施策略第一节 总体目标“十二五”时期，城商行应以科学发展观为指导，以转变增长方式，走差异化、特色化发展道路，提升核心竞争力为发展目标，将信息科技纳入银行整体发展战略，提高信息科技管理水平，推动信息科技创新，促进业务与信息科技的融合，推进风险控制、战略发展和流程银行再造，努力满足多层次、多元化的金融服务需求。推进信息科技治理体系建设，建立适应发展目标的信息科技组织架构与决策、监督机制，提升信息科技治理水平；推进信息科技管理能力建设，加快信息科技管理从粗放式向规范化、精细化转变；推进信息科技建设与研发，深化信息科技在经营管理中的应用；推动建设全面风险管理信息

12、科技基础环境，夯实全面风险管理基础；充分发挥信息科技的创新作用，支持特色化金融服务和经营模式，为打造创新能力强、专业领域优势明显的现代商业银行提供有效的信息科技支撑和保障。第二节 指导原则“十二五”时期，城商行信息科技发展应坚持“科学发展、安全运营、统一标准、统筹规划”的原则。 坚持科学发展原则。立足于转变发展方式，走差异化、特色化发展道路，提升信息科技管理、研发与服务能力，支持具有经营特色、有利于提高核心竞争力的发展战略与市场定位。 坚持安全运营原则。提高自主运维能力和信息安全管理水平，加强信息科技风险防控，保证信息系统安全、持续、稳定运行。 坚持统一标准原则。借鉴国际、国内行业良好经验及做

13、法，建立管理、技术、产品和服务标准，逐步提升信息科技管理规范化与专业化水平。 坚持统筹规划原则。把握业务和技术发展趋势，加强规划前瞻性、指导性与执行力，统筹资源，推动信息科技建设有序实施。第三节 实施策略为保障“十二五”时期信息科技主要任务的完成和总体目标的实现，采取“合理规划，统筹推进，加强领导，明确责任；加强合作，差异发展，保障资源，注重实效”的实施策略。 合理规划，统筹推进，加强领导，明确责任。立足科学发展，着力开拓创新，强调总体规划，夯实治理基础，有组织、按计划地有序、协调推进信息科技工作。董事会和高级管理层应切实加强对信息科技管理和建设的领导，把信息科技工作列入重要议事日程，从战略高

14、度把握信息科技发展方向，推进信息科技治理建设，部署实施信息科技总体规划；要明确职责，充分调动各方面积极性、主动性、创造性，确定实现目标和实施路线。要定期评价实施效果，及时修正，合理调整，保证规划的系统性、前瞻性。 加强合作，差异发展，保障资源，注重实效。根据业务发展战略，综合分析内外部环境，确定信息科技建设模式。加强合作，发挥我国银行业信息科技整体合力；充分参考、借鉴同业成功经验，发挥后发优势，全面提升信息科技管理水平与创新能力，支撑和促进银行核心竞争力的提高。要加强信息科技资源保障，确保人力、物力、财力支持。要不断加强信息科技人才队伍建设，重视人才培养和引进。要加大信息系统推广和应用力度，保

15、证信息科技资源的有效利用。第四章 推进信息科技治理体系建设“十二五”时期，城商行应加快信息科技治理体系建设，建立健全组织架构、决策机制和制度体系，开展信息科技战略规划，加强信息科技队伍建设和资金投入，从根本上提高信息科技治理水平，更好地服务于银行发展目标。第一节 完善信息科技组织体系，夯实信息科技治理基础完善信息科技组织体系，明确董事会、高级管理层、专业委员会在信息科技治理等方面的职责，提高履职实效；设立信息科技委员会，履行对信息科技战略规划、预算管理、重大项目建设、信息科技风险策略制定等重大事项的决策、监督和管理职责；建立和完善首席信息官制度，履行信息科技管理职责，并参与业务规划以及重大业务

16、发展事项决策。建立健全信息科技部门以及信息科技风险和审计职能部门“三道防线”，厘清职责、理顺流程、落实岗位责任，形成有效的管理、监督和问责机制。第二节 加强战略规划，提升信息科技规划前瞻性与指导性加强信息科技战略规划，董事会、高级管理层要加强指导，推动信息科技部门与业务部门的有效联动，以信息化建设支持业务战略实现为目标，制定信息化发展的战略方针和总体布局，保证规划的前瞻性、系统性；要明确实施路线，加强规划执行力度，建立定期评估机制，保证规划的科学性与实用性。信息科技规划要与业务战略保持一致，以业务架构为基础，科学设计应用架构、数据架构和基础架构；涵盖信息科技治理、组织架构、人才队伍建设、基础设

17、施建设、信息科技风险管理以及信息科技研发与创新等各个领域。第三节 健全决策机制，提升信息科技决策科学性建立和完善信息科技决策机制。要明确董事会、高级管理层、专业委员会，信息科技部门、业务部门以及其他各相关部门的职责。决策内容应覆盖战略规划、资源配置、总体架构、重大项目、风险管理政策等各个领域；决策程序应公开、透明、高效；要逐步建立和完善决策评价与监督机制。第四节 推进制度体系建设，加强信息科技规范化管理依据相关法律法规，借鉴国内外管理标准和最佳实践，建立信息科技管理制度体系，覆盖信息科技管理各个领域，建立明确的管理策略和流程。建立和完善信息科技制度管理机制，落实制度管理职责；制定制度管理策略及

18、制修订程序，加强实施效果评价，持续提升制度建设的科学性、时效性、可用性；加强制度宣传贯彻力度，强化对制度落实情况的审计监督，强化制度执行力。第五节 加强队伍建设，提升信息科技核心专业能力明确信息科技队伍建设目标，加大信息科技人力资源投入，信息科技人员占比原则上应不低于3%。要建立与银行发展战略相适应的信息科技人才队伍建设机制，确保关键岗位人员配备；加大信息科技规划、架构管理、研发与项目管理、信息科技风险管理与审计等关键领域专家型人才的培养和引进力度，打造核心人才梯队；加强信息科技人员职业生涯发展规划，建立健全信息科技人员激励机制，完善与行政序列并列的信息科技专业职级体系和薪酬体系，完善晋升机制

19、，拓展信息科技人员职业发展空间。第六节 合理规划投入，支撑信息科技稳步发展根据业务发展战略，保持信息科技投入稳定增长。加强战略规划对信息科技预算的指导性，提高资源配置决策质量与资源配置效率；加强信息科技预算与业务经营计划的一致性，健全信息科技预算管理与执行体系，完善预算编制、调整和审批流程，提高信息科技预算的科学性、及时性、准确性。增强成本效益意识，提高信息科技成本控制水平。通过对信息科技资源使用情况分析，从业务价值、信息科技成本收益等维度评估信息科技资源使用效率，合理分摊信息科技成本，逐步建立绩效考核评价机制。加强信息科技资源的统筹协调，持续、深入整合、挖掘信息科技资源，提高资源使用效率。积

20、极探索建立行业协作与互助机制，加强资源共享。探索建立信息科技产品和服务采购行业联盟，提高采购透明度，降低采购成本。 第五章 完善信息科技管理体系建设“十二五”时期，城商行应高度重视信息科技风险管理体系建设，以确保银行信息系统安全稳定运行为目标，加强信息科技风险管理，加强基础设施、信息安全与应急管理体系建设，提高开发与运行维护管理能力，有效防范外包风险，为保障业务可持续发展奠定坚实基础。第一节 加强信息科技风险管理体系建设，完善内控机制明确并落实董事会以及高级管理层的信息科技风险管理责任，在全面风险管理框架下，制定与银行总体业务规划和发展模式相适应的信息科技风险管理策略及实施路线，构建覆盖信息科

21、技风险主要领域的管理制度体系；加强信息科技风险管理企业文化建设，不断提高全员的信息科技风险防范意识。落实信息科技风险管理职能部门工作职责，配备专职信息科技风险管理人员；逐步建立和完善信息科技风险管理流程，推进管理制度和管理流程的实施，建立制度评估、修订机制，逐步提升对信息科技风险的识别、计量、监测和控制能力。健全信息科技审计监督机制，明确内部审计部门信息科技审计职责，配置具备专业技能的审计人员，制定信息科技审计制度和流程，开展信息科技全面审计和重要领域专项审计。加强审计整改落实，提高内控机制的有效性和管理制度的执行力。第二节 加强基础设施建设，建立安全稳定的生产环境基于业务发展战略，以安全可靠

22、、标准规范、具有较好的扩展能力为原则，推动数据中心的规划和建设；科学设计数据中心建设规模和容量，综合考虑地理位置、环境等综合因素，合理规划运行环境；遵循数据中心相关设计标准与规范，支持业务中长期发展需要。重点加强供电、通讯、消防、机房空调等关键基础设施的规划建设；合理划分机房区域，冗余配置通信线路、供配电设施、机房专用空调等关键设备，消除单点隐患；有效配备不间断电源、应急发电设施，满足连续运行需要；建立消防等环境预警监测体系，保障基础设施安全；积极探索运用绿色节能技术，降低数据中心能耗。应用成熟的技术解决方案和软硬件产品，加强基础架构规划建设；制定操作系统、数据库和中间件等技术实施标准，提高管

23、理标准化水平，降低开发和维护的复杂度；科学规划和设计服务器、存储、数据库等性能和容量，满足业务增长需要；合理运用设备冗余和集群等技术手段，积极探索运用逻辑分区、虚拟化、集中存储等技术，实现系统的快速部署和资源按需分配；加强软件正版化管理，构建安全、稳定的软件使用环境。 加强网络规划建设，参照功能模块化、结构层次化模式，提升网络架构的统一性、安全性和可扩展性；建立网络安全运行标准和管理规范，健全网络运行日常监测、检查、评估和改进机制；建立网络安全访问控制机制，合理划分安全区域与安全等级，采取相应的网络安全策略，强化网络的整体安全性。加强与内部分支机构、外部网络互联的安全隔离与控制，重点防范网络外

24、部入侵和攻击。第三节 规范开发流程管理，完善项目管理机制加强信息科技项目管理的规范化、流程化，建立覆盖信息科技项目立项、需求分析、设计、开发、测试、上线、验收、后评价等全过程的管理体系，明确项目实施过程中各相关部门职责；规范信息科技项目立项工作，重点加强立项过程中的可行性分析与评估；建立业务部门与信息科技部门的需求沟通机制，重点加强业务需求分析和评审工作；建立信息科技项目测试规范、标准和流程，重点加强系统集成测试和用户测试；强化信息安全检查和监测机制，重点加强关键业务系统与核心模块的代码审查和安全测试。建立软件质量控制标准，规范质量管理体系，明确质量控制方法和流程；规范开发技术标准体系，加强技

25、术标准在开发过程中推广使用力度，进一步提高开发管理的标准化、规范化程度；建立软件产品测试质量保证体系，重点加强需求分析和测试阶段的质量管理与流程控制，建立和完善测试环境及产品质量测试流程，加强性能和压力测试的深度和覆盖面，逐步提高自动化测试水平。第四节 加强运维管理，保障信息系统安全稳定运行健全管理制度，持续优化管理流程，不断提升信息科技服务水平；加强运行统一调度管理，建立健全事件管理、问题管理、变更管理等运行管理流程，逐步实施配置管理；规范系统投产和变更管理程序，加强紧急变更管理，控制生产变更频率；不断提高信息系统运行稳定性，不断提高关键业务系统可用率。健全信息科技运维安全管理机制，加强岗位

26、管理，强化关键岗位制约机制，落实运行与开发岗位人员分离原则。加强审计监督，定期开展安全检查，推进访问控制执行力度，加强日志管理与操作行为审计。建设一体化监控平台，逐步实现对服务器、网络设备、数据库、中间件和应用系统等集中监控；建立、完善相关性能监控指标，提高预警、响应与处置能力。逐步建立生产运行量化考核与评价机制，推动服务水平不断提升。第五节 健全信息安全管理体系，加强重点领域信息安全管理加强信息安全体系建设，建立安全管理组织机构，明确管理职责，建立专职信息安全人员队伍，落实信息安全人力资源保障；结合信息系统安全等级保护要求，制定信息安全策略；健全信息安全管理制度，规范安全管理流程，加强贯穿信

27、息系统生命周期的信息安全管理；利用先进、成熟的安全产品和技术手段，在防御、监测、预警、响应、恢复等层面提高信息安全管理能力，提升信息安全保障体系的健壮性和有效性；加强基础设施和网络安全管理，严格执行安全区域访问控制；加强生产系统操作监控和日志审计，逐步开展系统投产前、后的安全测试与评估，加强代码安全审核，及时发现和处置安全隐患。加强电子银行、银行卡等重要信息系统安全管理，逐步建立交易监测机制，采取多渠道、多因素认证和第三方协作等措施，有效防范伪造、欺诈、篡改交易等违法行为；提高安全基础设施有效性，严格管理密钥和自助设备，保障交易环境安全；推进金融IC卡建设，增强银行卡技术安全性。加强数据、文档

28、安全管理，逐步建立信息资产分类分级保护机制；完善敏感信息存储和传输等高风险环节的控制措施，建立严格的数据、文档访问授权、审批机制；对用于测试的生产数据要严格执行脱敏处理机制，严格防止敏感数据泄露。逐步建立信息安全评价体系，量化信息安全评价指标，综合评定信息安全工作水平，促进信息安全工作持续改进。第六节 完善应急管理体系，提升业务连续性水平统筹建立全行统一的应急管理体系，确立应急管理组织架构，明确董事会及高级管理层的管理责任；落实牵头部门，统筹推进指挥体系、预警机制、处置程序、保障措施、管理制度、流程规范和资源保障等应急管理建设工作。加强业务影响分析，逐步制定科学的业务分级分类标准、业务恢复目标

29、，合理配置应急资源；梳理完善业务与重要信息系统应急预案，合理设计应急场景，细化处置措施，提升预案的可操作性，逐步实现应急预案的全覆盖；定期评估、修订应急预案，确保应急预案有效性；促进业务部门与信息科技部门应急联动机制建设，加强部门间应急协作，探索建立与公共事业机构、金融同业机构的应急协作机制，提升应急处置综合能力。推进灾备体系建设工作，在数据级灾备基础上，逐步推进应用级灾备建设；逐步扩大应用系统灾备覆盖范围，实现对重要信息系统基本覆盖。积极探索联合共建、外包以及多功能复用等多种灾备中心建设模式，降低灾备建设与维护成本，有效提高灾难恢复能力。建立常态化的应急演练机制，重点开展关键业务系统及重要基

30、础设施的应急演练，演练范围逐步向外围系统、多应用联动扩展，逐步提高以真实业务接管为目标的切换演练实战能力。推动开展业务连续性管理体系规划和建设工作，明确建设策略及路径，逐步建立全行层面的业务连续性管理体系。第七节 加强信息科技外包管理，防范重点领域外包风险制定信息科技外包管理策略，明确信息科技外包范围；处理好外包和自主研发的关系；通过外包积极引进新技术、新产品，同时加强自主研发能力的培养，强化知识转移，提高对关键技术与重要信息系统的管理与控制能力；建立和完善外包管理制度，规范供应商选择、合同签署、日常管理和变更等外包全过程管理，做好外包管理与项目管理、质量管理、信息安全管理及合同管理等制度的衔

31、接。 加强外包风险管理，建立外包合同合规审查机制，明确知识产权归属，防范法律风险；建立有效的外包服务控制流程，严格控制外包实施过程中的操作安全、信息安全、人员变更等风险；制定外包供应商准入标准，建立资格审查制度；开展外包服务审计，建立外包服务质量评价机制，控制外包服务质量；制定外包服务应急预案，防范供应商服务中断或异常退出风险。第六章 深化信息科技应用“十二五”时期，城商行应大力提高信息科技应用能力，完善核心应用系统、电子银行、管理信息系统和风险管理基础设施建设，支持全面风险管理体系建设，提高业务创新和金融服务能力。第一节 加强核心应用系统建设，提升客户服务水平与市场响应能力加强全行应用体系规

32、划，规范技术标准，参照分层、松耦合架构模式，采用参数化、组件化架构设计方法，以业务为驱动、客户为中心、产品为支撑，支持流程银行建设，完善应用架构，规范服务接口标准，逐步实现产品灵活定制和多渠道的快速发布；规范应用架构安全设计，满足交易安全、统一身份鉴别以及访问控制等安全要求。整合分布在各应用系统的客户信息，逐步形成全行统一的客户信息视图，建设操作型客户信息管理系统。逐步探索建立全行统一的客户营销和客户关系分析管理平台，深度挖掘客户数据资源，实现差异化客户营销，提升金融服务效率和服务水平。加强渠道资源统一规划与整合，集成柜面、网上银行、电话银行、自助设备等渠道类应用服务，建设统一接入平台，实现报文类型、交易路由等渠道功能的灵活定制；统一各渠道