我国银行业信息科技“十二五”发展规划监管指导

78/78中国银行业信息科技“十二五”进展规划监管指导意见之大型商业银行和股份制商业银行篇中国银行业监督治理委员会二○一一年六月目录第一章信息科技进展状况 4第二章面临的机遇与挑战 10第三章信息科技进展的目标、原则、重点与实施策略 13第一节总体目标 13第二节指导原则 14第三节战略重点 15第四节实施策略 18第四章推进信息科技治理能力建设，加强信息科技战略与企业战略协同 19第一节深入开展信息科技治理体系建设 19第二节优化信息科技组织架构 21第三节加强信息科技队伍建设，提升信息科技核心竞争力 22第四节构建信息科技制度框架，有效提高治理水平 23第五节建立健全架构管控体系，贯彻落实信息科技战略 24第五章打造智能绿色基础设施，提高支持业务进展能力 25第一节加强基础设施优化整合，提高基础设施支撑保障能力 25第二节提高基础设施治理水平，提升基础设施服务能力 28第三节加强技术应用，提高基础设施可持续进展能力 31第六章加强信息科技风险治理，完善研发运维体系 33第一节建立全面的信息科技风险治理体系与长效治理机制 33第二节加强信息安全治理，全面提升信息安全保障能力 34第三节强化研发体系建设，掌握信息科技核心能力 36第四节强化运维体系建设，提升系统服务水平 37第五节建立业务连续性治理体系，保障金融服务持续稳定 39第六节建立健全信息科技外包治理机制，防范外包风险 41第七章加大应用体系建设力度，提升经营治理能力与客户服务水平 42第一节推进核心应用系统建设，打造高效灵活的业务运营平台 42第二节加强内部治理系统建设，提高精细化治理水平 47第八章加强风险治理基础设施建设，提升风险治理水平 49第一节完善信用风险治理系统建设 49第二节推进市场风险治理系统建设 50第三节加强操作风险治理系统建设 51第四节推进资产负债治理信息化建设 52第五节加强资本治理信息化建设 52第六节建立信息披露和报告体系 52第七节构建风险数据环境 53第九章发挥科技创新优势，促进电子银行全面进展 54第一节推进电子银行技术与业务模式创新，拓展金融服务渠道 54第二节推进电子渠道整合，促进电子银行服务多元化进展 57第三节深化风险防控，健全电子银行安全保障体系 58第十章建立数据治理机制，推进数据标准化和质量建设 61第一节提高认识，建立数据治理体系 61第二节加快数据标准建设，统一数据规范 62第三节加强数据全生命周期治理，提高数据质量 62第四节优化数据架构，推动数据信息逻辑整合 63

第一章信息科技进展状况“十一五”期间，大型商业银行和股份制商业银行（以下简称大中型银行）信息化建设取得了巨大进步，各银行机构围绕自身整体进展战略，推进信息科技规划与信息科技架构设计，开展应用系统与基础设施建设，逐步建立安全高效的信息系统运行平台，开发种类多样、功能丰富的产品体系，为加快业务进展、加强内部治理和推进全面风险治理提供了有力支持，信息科技已成为银行核心竞争力的重要组成。同时，信息科技治理机制逐步建立，组织体系进一步健全，信息科技队伍结构与人员素养得到优化和提高，信息科技治理水平得到有效提升。─信息科技战略规划与架构治理能力明显提高，信息化建设有序推进。对信息科技战略规划重视程度不断提高，逐步建立信息科技战略蓝图，明确规划的具体实施路线，规划方法趋向科学；部分银行机构设置专门的规划治理机构负责蓝图设计并督导实施。重视信息科技架构优化，开展基础架构、应用架构、数据架构规划，推进架构评审管控机制，制定架构管控策略和程序，推动架构规划的贯彻落实。─信息科技治理体系逐步建立，为信息科技可持续进展奠定基础。探究信息科技治理模式，确立信息科技战略定位，提升信息科技服务价值。完善决策体系，明确董事会、高级治理层、信息科技部门以及相关业务部门职责；设立信息科技专业委员会，推进首席信息官制度；优化信息科技组织架构与岗位设置，加强内控建设，推进专业化、流程化治理。提高人力资源规划与治理水平，推进素养能力模型应用和职员职业进展。建立信息科技制度治理体系，推进制度持续性建设。提高成本意识，推进信息科技成本治理。─基础设施建设持续加强，信息科技服务能力不断提高。差不多完成基础架构建设，加大投入巩固基础设施建设，重点保障核心账务以及关键业务、关键渠道类系统的资源需求。初步建立基础设施相关标准和规范，提升基础设施资源的治理水平和使用效率；实施基础设施资源整合和扩容，提升基础设施对业务运行的承载能力；积极引入新技术，提高资源利用率，推动信息科技资源集约化治理。在提高基础设施使用效率的同时，深入排查运营风险隐患，积极采纳设备冗余、集群等多种手段提升系统高可用性，持续提升信息科技服务能力。开展机房达标工程，提升数据中心机房建设标准，改造机房环境；加强网络规划，做到高可用性与高可靠性并重，为业务进展提供安全的基础保障环境。─信息安全技术保障体系初步建立，信息科技风险治理水平不断提升。初步建立信息安全制度规范和技术标准，强化信息安全风险评估和持续改进机制。初步建立等级化的信息系统安全技术保障体系，积极运用先进、成熟的安全技术和产品，加强信息系统生命周期安全治理。采取有效措施防范信息安全风险，运用加密技术和安全产品，规范和加强身份认证、授权治理、责任认定等，建设网络信任体系，确保交易防抵赖。电子银行分层次、差异化的安全认证方式和服务体系差不多建立。广泛采纳数字证书和动态口令等手段实现用户身份鉴不，数字证书载体由文件、智能卡进展到USBkey，语音识不技术在电话银行中得到应用，部分银行机构在ATM机中开始运用指纹识不和视频技术。在信息爱护方面，广泛运用防抵赖、抗攻击和加密技术爱护系统和信息安全，传统的电话银行和自助设备的安全性大为改善，进一步推动了服务范围的拓展。研发、运维治理组织架构日趋完善，差不多形成了规范化的研发体系和适应大规模数据集中处理的运维体系。积极开展灾备体系建设，强化突发事件应急治理，积极开展应急演练，加强与国家相关部门以及行业间的联防协作，有效提高了应急处理能力。─应用系统建设初具规模，有力支持了业务进展。差不多完成数据集中，形成全行“一本账”的账务核算体系，支持由“以账户为中心”向“以客户为中心”转变，差不多实现本外币一体化、全功能柜员治理，整合业务功能和处理流程，推进会计记账集中处理，支持业务品种多样化进展。核心应用系统差不多保持稳定持续运行，实现了7×24小时不间断服务。建立内部资源治理系统，推进人、财、物的有效治理。完善客户关系治理系统，逐步实现全行统一客户评价标准体系。建立多层次治理信息报表体系，建设集中的报表系统，提高量化治理水平。推进风险治理系统建设，初步建立信用风险内部评级体系，逐步推进市场风险内部模型法建设；开展自我评估与内部损失事件收集等工作，探究实施高级计量法，推进操作风险治理。─电子银行渠道与创新应用不断丰富，金融服务水平持续提高。初步建成电子银行运营治理体系，建立涵盖网上银行、电话银行、手机银行、自助银行、电子商务的一体化、立体交互式的电子银行产品交易平台，和以客户中心、门户网站、消息服务为支撑的信息服务网络，电子银行交易替代率显著提高，电子银行渠道多样化服务体系差不多形成。加快创新，形成面向企业和个人客户的系列化产品体系。在网上银行方面，普遍提供在线查询、转账、汇款、银证转账、代客外汇买卖等服务，部分银行机构试办网上小额质押贷款、住房按揭贷款等授信业务。在手机银行方面，智能手机应用不断涌现。在自助银行方面，出现存取款一体机、自助缴费设备、自助发票打印设备等新型设备以及基于指纹识不技术的无卡交易。在电子商务方面，为电子商务应用提供全套在线支付解决方案，并进一步丰富了手机支付、电话回呼支付等支付手段。在充分确信成绩的同时，也需要认识到存在的问题和不足，要紧表现在以下方面：─信息科技与业务融合不足，信息科技治理水平有待提升。信息科技战略与企业战略结合不够紧密，部分银行机构尚未从企业战略层面开展信息科技整体规划；业务部门对信息科技战略规划的制定参与不够，业务架构不够清晰；信息科技战略规划后评价机制有待完善。信息科技组织结构、决策机制有待加强，决策职责分工和关键决策范围不够清晰，缺乏科学的决策分析方法和决策工具，缺乏有效的监督问责机制。首席信息官机制有待进一步推进。在信息科技架构与标准治理方面，尚未形成专业化的组织治理体系，对信息科技建设与运行的整体指导作用有待加强。制度框架有待完善，制度执行和监督力度相对薄弱；技术标准亟需健全。信息科技人力资源治理体系有待健全，部分银行机构信息科技人力资源不足，存在科技人员总量占比少、关键岗位配比低、核心技术领域高端人才缺乏等问题。绩效考核体系不够完善，激励与约束机制有待加强。信息科技成本治理有待加强，资源配置效率有待提高，信息系统建设投入产生的业务价值有待于量化评估。─应用系统对经营治理和风险防控的支撑力度有待加强。应用系统架构扩展性和灵活性不足，应用系统间耦合性高，核心应用系统运行传导性风险较大。核心应用系统缺乏统一的产品治理机制，产品配置与产品组合灵活度不够，产品开发周期长。应用系统建设整体规划不足，“部门银行”现象、重复建设与资源白费现象较为突出。治理信息系统对经营决策与前台营销支持不够；分析型客户关系治理系统所覆盖的业务范围不全面，与操作型客户关系治理系统的整合程度不高；指标流程化、规范化治理程度不高，应用系统对报表灵活定制的支持程度有待提高；对并表的自动化处理能力亟待加强。风险量化模型建设与系统整合度有待加强；各类风险模型的准确性、稳定性、规范性与透明度有待提高；计量结果在风险治理流程与风险监控等方面的应用有待提高；风险治理系统建设的整体规划前瞻性与系统性有待加强。─基础设施的灵活性和完备性不足。信息科技基础设施复杂度高、部署时刻长，基础设施布局规划不足，支持业务进展的灵活性和完备性不足，难以有效适应业务快速进展需要。数据中心规划选址过于集中，区域性风险较为突出；建设标准和治理规范有待完善；内部能耗偏高，资源循环利用能力有待提高，运营成本操纵有待加强。部分银行机构数据中心安全保障和运维治理能力不足。─数据标准规范不够完善，数据质量和共享水平亟需提升。数据治理体系建设较为滞后，缺乏专业化的数据治理组织机构以及明确的责任人体系，尚未形成良好的决策机制和治理机制。数据标准体系不够完整、清晰，数据标准贯彻执行力度亟待加强。数据质量亟待提高，关于风险管控和精细化治理的支持亟待加强。应用系统建设存在“重功能、轻数据”现象，难以提供准确、完整、统一的基础数据。风险数据同业共享机制有待建立。数据质量的长效治理机制与持续改进机制亟待加强。─信息科技风险治理本身存在薄弱环节。信息科技风险治理尚未纳入全面风险治理体系；对信息科技风险的认识不充分，治理资源投入不足；对国外技术及设备的依靠度过高；信息科技外包缺乏整体规划与战略性设计。研发和运维体系有待加强，制度、标准与流程建设有待完善，研发质量保证体系、运维自动化与一体化以及绩效考核评价体系有待进一步健全。业务连续性治理处于起步时期，业务应急机制不足，应急预案体系不够完整，信息系统灾备有效性不足，灾备切换演练未能真正贴近实战。电子银行的经营环境有待完善，制度、法规建设有待加强。外部攻击威胁以及银行卡和电子银行犯罪问题日益突出，安全防护能力建设有待加强；银行间信息共享和追踪配合机制有待建立。第二章面临的机遇与挑战“十二五”时期，我国银行业面临新的进展机遇与市场环境，也面对新的风险与挑战。在这一重要战略机遇期，要实现提升核心竞争力、稳健经营、安全运行的目标，需要加强战略规划，深化内部操纵和风险治理，转变经营理念、治理体制和进展模式。在这一背景下，大力推进信息化建设，以科技进步和创新支持银行业可持续健康进展并不断提高国际竞争力，是银行业应对挑战、提升整体综合实力的战略举措。─经营环境发生深刻变化。“十二五”时期，在加快转变经济进展方式和经济结构战略性调整的背景下，我国银行业经营进展环境将发生深刻变化。金融市场进展，利率市场化改革，银行监管标准的实施都将对商业银行经营模式产生重大阻碍。在日益复杂的经营环境下，银行业金融机构需要在信息科技、流程再造和产品创新上实现新的突破，促进信息科技与业务融合，增强信息科技创新与服务能力，强化风险治理基础设施，积极推动业务转型，提高全面风险治理能力，转变规模扩张的外延式进展模式，走集约化、内涵式增长之路。─精细化治理要求更加迫切。银行业新业务、新产品、服务新领域和新的治理方式不断涌现，交易规模日益扩大，市场竞争不断加剧。要提高市场效率，降低交易成本，减少操作风险，亟待提高精细化治理水平以提升核心竞争力。随着“以客户为中心”理念逐步深化，全面、准确、及时的多维度利润核算需求更加迫切，亟需建立先进的客户治理和市场细分系统，加强业务信息整合，提高市场分析和客户需求分析水平，提高资金运营效率。─大型银行国际化进程加快推进。随着人民币国际化、利率汇率市场化改革的深化，我国国际经济合作范围不断扩大，企业和居民的跨境金融服务需求日益增长。在推进国际化经营过程中，银行机构需要制定清晰的国际化进展战略，具备与全球金融一体化相适应的风险操纵能力和业务转型能力，提高运营效率和服务质量，提高业务连续性水平。在信息科技方面，要制定支持国际化的信息科技战略与规划，构建面向境内外、具有前瞻性和灵活性的体系架构，进一步整合业务流程，建立集约化运营机制，支持信息共享与业务联动；统一标准，快速部署产品，提升一体化全球服务能力，提高跨境风险防控能力。─业务转型步伐加快推进。随着进展环境的深刻变化，银行机构需要调整经营结构、加快转变进展方式，制定差异化进展战略、推进业务转型、实现错位竞争。在坚守传统业务的同时，大中型银行从批发业务为主到批发、零售并重，从利差收入为主到逐步加大中间业务收入，形成多元、均衡、稳定的盈利增长格局。同时，随着资本市场进展，在收入多元化、客户需求多元化以及市场竞争需要等多重因素驱动下，大型银行积极拓展新的业务空间，审慎推进综合经营，增强一体化服务能力和跨市场盈利能力。为支持和推进业务转型，银行机构要进一步完善信息科技治理模式，提高信息科技规划、架构及标准化治理水平，推进数据整合、流程整合；细分客户群、深入挖掘客户需求，加快产品创新、提升资产治理水平、提高经营治理能力。─风险治理步入新的进展时期。“十二五”期间，国际金融监管架构和规则发生重大变化，金融机构改革不断深化，金融调控机制不断完善，新监管标准全面实施，我国银行业风险治理将进展到一个新的时期。银行业要强化风险治理基础设施建设，完善风险治理组织架构，运用新型风险计量工具，强化内部操纵和审计职能，改进激励考核机制；要强化数据基础，强化信息系统建设，为风险政策制定和实施、风险计量工具运用及优化奠定基础。同时，伴随信息技术与互联网高速进展，银行服务电子渠道日益多样，银行治理所涉及信息量急剧增大，加强客户信息爱护，防止信息泄露风险任务更为艰巨，需要全方位地在应用系统生命周期、数据生命周期、基础设施环境运维等各个方面强化信息安全治理。─科技创新推进业务变革。“十二五”时期，科技创新孕育新突破，新技术快速进展与我国经济社会信息化水平的全面提高，为银行业信息化进展提供了新的空间。各类消费电子技术蓬勃进展，三网融合进程加速推进，电子商务应用深化，客户与银行沟通的渠道将更为多样化，银行的销售和服务模式将发生深刻改变，多渠道灵活接入、多渠道整合、多渠道安全治理等，对银行应用布局、第三方合作治理、安全体系设计提出新的要求。宽带、影像、工作流及其它自动化技术更为普及，银行后台集约化运营的广度和深度都将进一步推进，关于信息科技应用架构布局、网络支撑能力、科技队伍研发能力提出了更高要求。随着绿色、低碳技术不断突破，需要提高基础设施容量规划、监控和治理能力，提高基础设施使用效率，有效降低成本。第三章信息科技进展的目标、原则、重点与实施策略第一节总体目标以满足业务进展战略要求为目标，全面优化信息化建设进展环境，努力提高信息科技自主创新水平，强化信息科技风险防范和信息安全保障能力，加强全面风险治理基础设施建设，推进向信息化银行转变；树立“科技引领”理念，增强核心竞争力，促进信息科技与业务进展的深度融合，推动业务和产品创新、流程创新、治理创新，增强可持续进展能力，为社会公众提供丰富、安全和便捷的多样化金融服务。要紧目标是：─深化信息科技治理。建立信息科技治理机制和治理模式，完善信息科技治理决策机制，优化信息科技人才队伍总量、素养、结构，完善制度体系，提高信息科技资源的使用效率与效果。─提高自主创新能力。加大应用研发和产品创新力度，以科技创新促进客户服务、产品创新、渠道拓展、风险防范、持续运营、治理决策能力的大幅提升。─加快进展电子银行。加大电子银行进展力度，拓展应用领域，发挥电子银行引领金融创新作用，推进电子银行成为银行交易主渠道和服务主平台，形成强大的产品与服务竞争力。─不断夯实基础设施建设。持续优化基础设施规范和标准，进一步加强重要基础设施建设，逐步提升基础设施治理水平，不断增强服务保障和可持续进展能力。─深化数据治理，夯实数据基础。建立数据治理体系与数据标准，提升数据质量和数据应用水平，提高数据价值制造能力。─大幅提升信息科技风险防控能力。建立风险防控体系，推进信息科技风险治理与国际先进水平接轨，提升信息安全保障能力。第二节指导原则坚持科学进展，注重战略思维、国际视野与创新理念，紧密跟踪银行业务进展趋势，把握信息技术应用方向，不断提升信息科技工作的集约化、规范化、自动化、精细化治理水平，有效平衡业务进展与信息科技能力建设、信息科技风险治理之间的关系，促进协调进展，全面提升信息科技核心竞争力，使信息科技成为推动业务转型、治理变革、产品创新和战略落实的重要力量。─坚持围绕银行进展战略原则。要树立以信息科技进展进步提升银行核心竞争力、提升客户服务水平、促进业务进展的思想。要始终围绕银行总体进展战略和目标，以客户为中心，与业务紧密融合、协同进展，实现业务进展和信息科技水平的同步跃升。─坚持自主创新原则。要坚持自主创新的科学进展道路，树立创新精神，提高研发能力，牢牢掌握信息化建设主动权。要充分发挥信息科技的第一生产力作用，将自主创新能力建设作为银行信息科技进展的战略重点，坚持自主研发与适度引进相结合，注重知识转移，重视培养创新型专业人才队伍，推动银行核心竞争力的有效提升。─坚持全面风控原则。随着信息科技日益深入运用到银行经营治理全过程，要将信息科技风险治理纳入银行全面风险治理体系，贯穿于银行各个经营领域，覆盖信息系统建设的全生命周期，完善信息科技风险治理体系，提升信息安全治理水平，保障信息系统安全、稳定运行。─坚持科技引领原则。要紧密围绕银行进展战略，把握大中型银行业进展方向，切实加强信息科技核心能力建设，以科技进步和创新引领银行业务创新与进展，推进银行进展方式的战略性转变。第三节战略重点─树立“科技引领”进展战略，推动转变进展模式。充分认识信息科技在银行现代化建设中的核心价值，树立“科技引领”进展战略，把信息技术作为推动银行转变进展模式、实施差异化战略的关键源动力。以科技为依托，以创新为手段，形成特色服务与市场品牌，提升产品研发能力、差异化服务能力与支持保障能力。─深化治理，着力提高信息科技核心竞争力。着重信息科技体制机制创新，加强激励与约束机制建设。完善信息科技决策机制，提高决策的科学性、有效性。加强信息科技队伍建设，科学规划信息科技人才成长路径，加快创新型、专业型、复合型人才培养，形成具有自主创新能力、具有国际化视野的高端信息科技人才核心梯队。加大信息科技投入，夯实基础设施建设，优化资源配置，探究精细化治理的有效方法，提高银行信息科技进展的核心竞争力。─提高信息科技自主创新能力，提升金融服务创新和服务水平。创新是银行可持续进展的源动力，应紧紧围绕业务进展战略重点，坚持业务与信息科技协调进展。深入研究业务进展格局，跟踪全球金融服务信息化进展趋势，关注新技术进展方向，加强基础性、前瞻性、关键性技术研发，提高自主创新能力。重点突破信息科技服务的薄弱环节，从银行与客户的价值链入手，深度发掘客户需求，增强创新产品附加值，提高创新的系统性和针对性，通过信息科技创新带动治理创新、服务创新和产品创新。─构建立体化全面风险管控体系，提高信息科技风险防控水平。要制定全面风险治理系统建设规划，按照新监管标准实施要求，加强风险治理数据基础设施的建设和风险计量模型的应用，建立健全具有统一性的、集成化的，覆盖信用风险、市场风险、操作风险及其它实质性风险的全面风险治理系统；建立内生式的主动风险治理模式，使风险治理成为银行健康、稳健经营的重要保障力量。要把信息科技风险治理纳入银行全面风险治理体系中，逐步完善规章和制度，贯穿于业务流程，覆盖信息系统生命周期各个时期，逐步建立起信息科技风险管控的日常化、流程化、持续化机制。─紧密结合新技术，构筑现代化电子银行。充分发挥电子银行对金融创新的引领作用，以电子银行创新推动金融现代化进展，加快推动电子银行在社会各领域的全面运用，进一步提升公众金融服务的质量和效率，使电子银行成为银行交易主渠道和服务主平台。电子银行建设应始终贯彻进展创新与风险可控并举，业务模式创新与技术创新并重。要充分运用电子银行的渠道优势、运营优势、服务优势和营销优势，加快电子银行进展和传统金融服务提升的相互促进，实现电子银行的持续、稳定、快速、健康进展。─全面提升数据共享水平，深入挖掘数据的业务价值。数据是银行最为重要的资产，是银行业务经营与信息科技应用的核心，是支持精细化治理、提升风险分析能力的基础。在推进应用系统逻辑集中过程中，核心是建立统一的数据标准，实现各类应用之间的互联互通，保证数据的真实性、完整性、一致性，全面提升数据应用价值。─加强环境建设，促进行业协调进展。积极配合国家相关部门，完善法律法规体系建设，有效防范金融信息犯罪和网络犯罪；加强协作，积极开展银行业交流与合作；加强金融信息标准化建设，提升公共信息共享能力，促进银行机构与非银行金融机构以及公共事业机构的合作，建立公共接入平台，推进跨机构、跨行业的高效互连互通。第四节实施策略为保障“十二五”时期信息科技要紧任务的完成和总体目标的实现，采取“加强领导、统筹规划，加强保障、有序推进”实施策略。─加强领导、统筹规划。董事会和高级治理层要高度重视信息科技工作在全行经营治理、风险防控、自主创新等方面发挥的推动和引领作用，从战略高度和全局角度科学谋划信息科技工作，总揽全局、科学决策，加强指导、突出重点，扎实推进、狠抓落实。要着力解决当前存在的突出问题，有效落实“十二五”时期各项工作任务，大力推进信息科技能力建设。要进一步促进业务与技术的深度融合，充分调动各方面的积极性、主动性、制造性，相互协作，群策群力，形成信息科技建设的强大合力。─加强保障、有序推进。要坚持以人为本，切实加强人才培养，不断充实人才队伍、构建人才梯队。统筹安排规划实施所需经费，切实保障重大项目顺利实施；接着加强对信息科技重要基础设施建设投入，不断完善成本治理机制，提高信息科技资源集约化、精细化治理水平。要依照“十二五”信息科技建设总体目标，基于差异化进展战略，客观评估差距，明确目标，分步实施，有序推进，持续优化；要依照经营环境的变化，结合业务进展趋势，适当调整、持续优化规划内容，提高对业务进展变化的适应性，保障规划的科学性、有效性。第四章推进信息科技治理能力建设，加强信息科技战略与企业战略协同逐步建立长效的信息科技治理机制，确立信息科技治理模式，强化决策机制，完善制度建设，优化组织架构，加强成本精细化治理。第一节深入开展信息科技治理体系建设─构建长效治理机制。推进在现代公司治理框架下、与业务运营模式相适应的信息科技治理模式与治理机制。完善信息科技治理结构，发挥董事会在信息科技治理中的核心作用，提高监事会监督效果，建立信息科技治理履职评价制度；加强信息科技委员会建设，推进首席信息官制度；完善信息科技决策规范和流程，提高信息科技决策专业性，把握信息科技进展方向与战略；分时期、有步骤推进信息科技治理建设，逐步提高信息科技治理成熟度。─加强信息科技与业务的协作融合。进一步建立新的环境下信息科技与业务部门间关系定位与责权利制度框架，推进业务和信息技术相融合的创新机制，倡导建立战略性合作关系。进一步明确在信息科技治理活动中业务部门的职责、流程，强调并发挥业务部门在业务需求分析与整合、应用项目业务价值分析、项目可行性研究与用户验收测试等过程中的主导、推动作用。─加强内部治理。提高信息科技资源使用效率，提高成本治理水平，逐步建立可量化治理的信息科技服务需求与交付治理体系、信息科技项目评估体系，从业务价值、信息科技成本收益、信息科技服务水平等多维度对信息科技资源利用效果进行全过程的跟踪评价。─加强信息科技决策体系科学化、规范化建设。加强决策体系建设，明确决策流程、授权机制、决策方法，加强制度和规范建设，着力提高决策的透明度和科学性。要建立科学决策的组织架构，明确董事会、高级治理层、专业委员会、各部门在决策过程中的职责分工。决策领域要覆盖信息科技关键决策，应包括战略决策、架构决策、重大项目建设决策等重要领域。要加强对决策过程与执行效果的审计监督，加强约束，落实责任。─加强成本治理，推进信息科技财务治理体系建设。应进一步增强成本意识，完善信息科技财务治理体系，逐步建立信息科技预算、成本操纵、成本分摊一体化的财务治理体系，提高信息科技资源使用的效率与效果。建立健全精细化的信息科技预算治理体系，加强成本操纵。加强战略与规划对信息科技预算的指导性，提高信息科技预算的精确程度，提升资源配置决策质量和配置效率。建立完善信息科技预算考核机制，明确项目开发与系统运维服务预算相关主体职责权限，并将预算考核纳入到相关责任主体绩效考核中，提高信息科技资源使用效率与效果。强化全面成本治理理念，逐步建立成本分摊模型和内部计价机制。逐步完善数据基础与治理工具，合理归集与分配信息科技成本，为精细化的信息科技财务治理奠定基础。建立对信息科技投入的评价与考核机制，逐步强化需求部门关于信息科技服务的成本观念，基于投入产出分析或成本收益分析进行信息科技投资决策，加强成本操纵。基于信息科技资源使用量与服务水平等要素，建立精细化的信息科技成本分摊框架与分摊方法，逐步提高信息科技部门成本治理水平以及成本分摊的准确性，促进资源合理利用。探究信息科技服务水平协议治理方法，探究实施信息科技服务内部计价。第二节优化信息科技组织架构基于战略规划与治理要求，持续优化信息科技组织架构，重点解决治理职能交叉或缺失、运行效率低下等问题，并建立信息科技组织结构评估与优化机制，持续提升组织治理能力。应定义关键信息科技能力，明确研发策略。应依据内控与合规建设要求，建立包含信息科技专业委员会、信息科技治理部门、信息科技风险治理职能部门与信息科技审计职能部门的组织体系，明确职责和人员岗位要求；重点加强在信息科技规划与架构、研发与项目治理以及制度与标准建设等重点领域的组织建设。增强信息科技服务能力，加强服务流程治理。在业务需求治理、项目治理等领域，建立面向内部用户的、稳定的服务界面，提高信息科技与业务协作效应；在信息科技运行维护等领域，建立基于服务流程的、专业化、集约化信息科技服务组织体系。第三节加强信息科技队伍建设，提升信息科技核心竞争力牢固树立人才资源是科学进展第一资源的观念，系统规划科技人才队伍建设，并纳入长期战略，统筹抓好各类人才队伍建设；要加大培养力度，引进优秀人才，建立健全科学的培训体系，完善职业生涯进展规划，健全绩效考核机制，打造梯次合理、素养优良、专业化程度高、适应战略进展要求的科技人才队伍。─接着加大信息科技人力资源投入，提高关键岗位信息科技人员比例。科学制定信息科技人力资源规划，加大信息科技人力资源投入，提高关键岗位信息科技人员比例；原则上，信息科技人员占比应不低于3%。以自主开发为主的银行机构，信息科技人员占比应不低于4%。基于人力资源规划目标，建立人员补充机制；董事会和高级治理层应督促、指导制定有关人力资源政策和措施。应进一步明确总、分行信息科技职能定位，优化总、分行科技人员配置结构。 ─拓宽信息科技人员职业进展空间，完善激励约束机制。应完善岗位职责讲明书制度，细化人员岗位职责和技能要求。进一步建立并持续完善与行政序列并列、与薪酬挂钩的信息科技专业职级体系，完善晋升机制，拓展信息科技人员职业进展空间。应进一步完善激励约束机制，制定精细、量化的绩效考核指标，全面、科学评价信息科技部门与人职员作绩效。─明确核心能力进展要求，完善人才培养机制。明确信息科技核心能力，制定适合银行进展战略的专业人才培养打算。基于信息科技战略与规划、信息科技人力资源规划、外包策略与以后技术方向明确核心能力要求，制定信息科技人员专业化培养方向，在需求分析治理、架构治理、测试治理、系统与数据库治理、服务水平治理等关键领域加强专家级人才的培养与引进。进一步提高信息科技培训的专业化水平，针对不同关键岗位和关键能力，制定细化、差异化培训目标，推进信息科技培训与专业岗位技能要求的有机结合；应紧跟信息科技与业务进展动态，建立覆盖入职培训、在职岗位培训、专业培训的全方位培训课程体系。加强培训效果评估和跟踪，提高培训成果转化率。第四节构建信息科技制度框架，有效提高治理水平制定、完善信息科技制度体系建设策略，明确制度框架、职责分工和授权原则、重点建设领域及其优先级。制度框架要差不多覆盖信息科技各要紧领域，包括战略规划、架构、运行、开发、测试、安全、灾备治理等。要不断完善各项制度，结合实际情况，重点加强对架构治理、数据治理、外包治理、信息科技成本治理和业务连续性治理的制度建设和流程建设。应设立专业化团队或岗位负责制度体系建设的总体治理，承担组织协调以及框架体系建设、制定建设打算、统一建设标准等各项工作。应明确各级治理人员在制度治理领域角色和职责，明确各项制度、流程和标准建设的责任人。应建立制度建设持续改进机制，加强制度变更治理。积极推进多渠道的制度宣传和培训，提高制度执行力。充分认识信息科技标准化工作意义，统筹规划总体框架、积极构建全行统一的技术与治理标准体系，贯穿于企业架构各个层次，覆盖系统、应用、安全、数据等各领域；要建立健全标准治理流程，建立专家评审机制，把好标准质量关；要加强对标准实施情况的监督、跟踪，开展标准后评估和修订工作，保持标准的连续性和一致性；要积极借鉴国际标准和最佳实践，注重与国际标准的兼容，加强我国银行业自身标准的研究、制定；要树立标准的权威性，切实增强标准的执行力、阻碍力。第五节建立健全架构管控体系，贯彻落实信息科技战略充分认识信息科技架构规划的重要性，在业务架构基础上，建立覆盖应用架构、数据架构和基础架构的信息科技架构规划。要制定并落实应用架构、数据架构、基础架构建设原则，建立架构设计规范标准，指导并约束项目和项目群实施。建立信息科技架构管控流程，完善战略规划、架构设计、项目群实施的全流程治理体系，加强协同与融合，逐步从项目驱动、业务条线驱动方式转变为架构驱动的信息科技建设模式，建立企业级架构管控组织和流程，建立架构管控平台，确保架构贯彻落实。建立架构评价体系，持续跟踪并监测架构规划的执行情况，在保持架构相对稳定的基础上，适时调整架构规划以适应进展要求。探究架构成果资产化治理，将企业架构成果纳入到可重用资产治理范畴，建立企业架构资产库。第五章打造智能绿色基础设施，提高支持业务进展能力“十二五”时期，大中型银行应切实加强基础设施整体规划、建设和治理，充分满足经营治理战略转变和业务创新要求，适应业务进展趋势，快速响应应用系统灵活部署的要求。第一节加强基础设施优化整合，提高基础设施支撑保障能力─提升基础设施规范化水平，建立弹性的基础设施架构。系统性地规划信息科技基础设施整体架构，针对系统、网络、机房环境等基础设施建立完善的规范和标准体系，建设高效率、高整合、低能耗、易治理、易扩展、前瞻性的绿色、智能、弹性基础架构，确保基础设施建设快速、有效、可持续进展，实现投入产出的最大化，为业务进展提供有力支撑。建立健全信息科技基础设施规范和标准体系，提升信息科技基础设施建设和治理水平。依照业务进展战略和应用系统部署规划，借鉴国际标准和最佳实践，以优化整合、高效稳定、灵活动态、绿色节能为原则，以可量化、可操作、可评估为目标，制定硬件设备、操作系统、数据库、中间件、存储等软硬件平台规范和技术标准，为应用系统规划设计、部署上线和运维治理提供指导；制定数据中心局域网、广域骨干网、广域接入网、Internet接入网等网络规范和技术标准，加强网络安全操纵，提升网络整体效能；制定涵盖机房选址、土建、内部装修、供配电、给排水、暖通与空调、安保、综合布线、楼宇自动化等方面的机房环境建设规范和技术标准，为数据中心规划设计、建设实施和运维治理提供指导。推进现有基础设施优化整合，建立弹性的基础设施架构。按照顾用架构、数据架构规划和部署要求，自上而下的确定基础设施建设和进展路径，在充分分析基础设施现状基础上，有打算、有步骤推进现有基础设施优化整合，逐步建立模块化、组件化、标准化的弹性基础设施架构，降低基础设施架构的复杂度，实现架构动态可扩展，并建立与之相适应的运维流程和服务治理体系，推进基础设施向灵活、高效、安全可靠和可治理的方向进展，有效缓解现有基础设施规模不断扩大、基础架构复杂多样、运维治理难度不断加大的局面，提高各类基础设施资源的使用效率和服务支撑能力，满足业务应用快速部署的总体目标。─推进系统软硬件平台优化整合，提升系统资源利用的集约化程度。基于“一体化”和“差不化”原则，综合分析和梳理各种系统资源的共性功能，通过虚拟化、标准化、自动化等手段实现组件化的基础设施资源配置，建立服务器和存储资源池，提高系统资源的灵活性、可用性，提高利用率，降低系统的复杂度和治理成本。建立与系统资源池相适应的基础软件资源组，建立基础软件生命周期全过程的使用策略、更新升级机制和退出机制，建立高效、经济的基础软件服务体系。─推进网络平台动态调整，建立灵活高效的网络架构。进一步加强面向业务的网络资源快速调度和网络资源优化整合，全面提升基础网络对业务的服务保障能力。利用网络虚拟化技术和面向应用的网络技术，实现信息资源在网络上的智能动态分配，提升网络架构负载均衡、迂回路由、无缝切换和故障隔离能力。推进统一网络支撑平台建设，实现业务数据、语音、视频的全网融合，并针对不同类型的业务流制定网络安全和动态流量分配策略。积极探究数据中心、网络中心松耦合模式，提供流量汇聚转发与业务服务之间清晰的治理边界，在保持网络整体结构稳定的同时，提高网络架构的扩展性以及对业务支持的灵活性。结合自身经营治理模式和业务进展需要，研究广域接入网汇聚模式改造，取消二级网络汇聚功能或二级骨干网，满足分支机构网络扁平化接入要求，简化网络部署架构和运维治理成本。─加强数据中心规划，切实提高基础设施防灾减灾能力。依照业务进展战略，从国家战略安全动身，参考“两地三中心”或“多中心互备”等数据中心布局模式，加强基础设施规划和风险防控。新建或在建的数据中心项目，在规划过程中要统筹考虑区域地理环境、配套设施等综合因素，兼顾自身风险偏好与行业全局风险操纵要求，在全面风险评估基础上进行基础设施选址，幸免规划选址处于地震、台风、水灾等自然灾难多发地带，幸免区域性过度集中而产生的风险传导与放大效应，加强全局性风险防范能力和对灾难的快速恢复能力。已建成的数据中心项目，应重点分析基础设施所在区域地理环境、电力与通讯保障、安防等风险因素，切实加强应急治理和风险操纵，强化内部安全管控措施，加强与所在区域外部保障的联动能力，防范外部环境风险隐患。充分考虑业务与技术进展趋势，合理规划数据中心建设规模和容量，积极倡导数据中心区域模块化设计和分区分级治理，提高功能空间的扩展和灵活分配能力，统一规划基础环境保障资源，实现供电、空调等基础环境保障资源容量动态分配和调整，提高环境资源的利用效率，优化基础设施环境资源使用方式，有效提升服务保障能力。第二节提高基础设施治理水平，提升基础设施服务能力─加强基础设施在业务应用全过程中的治理，实现基础设施资源按需配置和动态调整。加强基础设施在业务应用的需求分析、规划部署、运行维护和退出各时期治理，在灵活、可扩展的基础设施架构基础上，满足业务应用各时期对基础设施资源的动态需求。在需求分析时期，建立对业务应用资源需求的预评估机制，在实现初步功能需求基础上，提供基础设施架构中相应的资源组合和平台方案，并进行能力验证。在规划部署时期，基于业务进展趋势分析，满足业务应用对基础设施部署方式、处理能力、软硬件平台、存储容量等需求，实现基础设施服务的标准化、自动化治理，保证基础设施资源中各组件发挥最大效能。在运维时期，及时调整资源配置以满足应用的变更治理与配置治理；建立业务需求跟踪治理机制，定期分析资源使用状况，分析业务进展趋势，及时进行资源的再分配与再利用。在退出时期，及时将基础设施资源回收到资源池，实现资源的再分配；及时更换和淘汰资源池中的老旧系统和设备，保证资源池的健康性，保障在线应用系统的安全、稳定和高效运行。─加强基础设施安全治理，全面提升基础设施安全水平。进一步优化系统整体架构、降低复杂度，加强设备冗余配置，加强实际冗余能力验证，采纳高可用或虚拟化等技术手段保障系统设备运行的安全性和可靠性。加强系统基础软件访问操纵和权限治理，降低偶然或恶意入侵破坏、更改信息或泄漏信息威胁。加强网络安全访问操纵机制建设，细化数据中心局域网网络功能分区建设，合理划分安全区域与安全等级，采取相应的网络安全策略，强化数据中心局域网整体安全性。加强与内部分支机构、外部网络互联的安全隔离与操纵，防范网络外部入侵和攻击。保障数据中心、运营中心、外部第三方等多点的网络互联安全，采纳多路由接入、备用网络等措施，化解网络安全风险，保障前后台业务间和第三方接入访问通畅。加强机房环境安全，重点加强机房电力、UPS和冷却系统等关键机房环境设备安全保障，在设备技术标准和配置容量、设备备品备件以及技术维护服务保障等多方面，提高电力、UPS和冷却系统的可靠性和安全性。严格制定并落实机房治理制度，加强机房环境消防安全，消除消防漏洞带来的环境安全隐患。建立基础设施安全验证机制，明确基础设施安全验证范围及方式，重点验证系统和网络高可用的完备性，基础环境设备的备品备件配置完整性，以及相关人员在各项安全保障流程中的操作规范性，检验基础设施相关的安全、流程和治理措施漏洞，确保基础设施安全治理有效性。─加强业务目标与基础设施建设方向的一致性，提升基础设施资源配置的精细化治理水平。明确各类业务的基础设施资源需求，建立基础设施资源配置打算。在业务分类分级的基础上，结合业务进展目标和基础设施规划，按照绿色弹性基础设施架构要求，依据系统、网络、机房环境等基础设施建设规范和技术标准，建立对应各类业务需求的基础设施资源配置打算。并依照业务、技术和基础设施进展情况，适时调整资源配置打算。加强资源配置方案论证和评估，规范资源配置流程。加强对资源配置需求方案的论证和评估，综合考虑业务类不、级不、规模、进展趋势和运营模式等因素，按照基础设施资源配置打算，确定系统软硬件、存储和网络等各方面基础设施资源配置要求，有序组织各项资源配置实施，实现基础设施资源集中配置和统一治理。推进基础设施服务水平的量化治理。建立系统的、可操作的基础设施服务评价指标，包括基础设施配置对业务应用需求满足程度、基础设施提供服务的可用性、基础设施资源变更的有效性、基础设施资源成本的可控性等。第三节加强技术应用，提高基础设施可持续进展能力─践行绿色节能社会责任，提高基础设施可持续进展能力。推进基础设施使用方式的转型，落实弹性基础架构建设，实现对基础设施资源集约高效利用。积极采取合适的绿色节能技术，履行节能降耗社会责任。加强基础设施冷却系统和供电系统规划设计。依照数据中心所在区域的自然环境状况，探究液体冷却、自然风冷、精确制冷、变频制冷和热能回收等制冷节能技术应用，提升数据中心制冷能效比。选择电力传输和转换效率高的设备设施，采纳适宜的智能电力调度系统以实现供电系统的高可用、智能调度和节能减排。重点关注建筑群体能耗、服务器能耗、空调能耗、UPS能耗，实现日常运行过程中对重点能耗的监测与统计，提高基础设施节能水平，降低基础设施运行成本。加强基础设施整体规划，通过高效率、高密度、虚拟化设备集群实现节能降耗。推进闲置设备与能效比低的老旧设备替换，推广应用节能、高效率设备，降低数据中心部署设备的整体能耗；提高机架单元的功率密度，通过虚拟化等技术提高设备负载运行的能耗效率。采纳能耗治理工具提高电力和冷却系统设备承载量；加强各类系统设备能耗监控装置配备。积极跟踪、试点先进节能降耗技术，持续有效的推进节能工作。积极试点可再生能源利用；结合基础设施所在地域特点，采纳先进的建筑节能措施，改造现有基础设施环境；探究回收节能、交换节能、自适应节能等技术应用。─加强新技术在基础设施领域的应用，提升基础设施服务保障能力。在风险可控前提下，结合自身基础设施建设特点及业务进展需求，积极跟踪、试点和推广应用新技术、新产品，提高资源使用效率，快速响应业务进展对系统资源的需求，提升基础设施服务保障能力。积极推进新技术在开发、测试环境的试点，充分分析新技术蕴含的风险因素、有效评估新技术带来的综合收益，有打算、有步骤地推广应用。积极与国内相关科研机构及IT企业联合攻关，打造具有自主知识产权的基础设施平台；逐步提高国产软硬件产品应用比例，有效提高金融信息安全防范能力，逐步摆脱核心技术受制于人的被动局面。积极推进虚拟化化技术在基础设施领域应用。深入研究服务器虚拟化、存储虚拟化、应用虚拟化、网络虚拟化等虚拟化技术应用，实现各类物理资源逻辑化，建立可动态治理的“资源池”，提高设备资源利用率，简化系统治理。逐步整合数据中心内部资源，分类划分各应用系统功能，为不同的业务应用提供针对性的虚拟化资源，提高各类基础设施资源利用率，增加资源调配的动态灵活性。加强云计算技术在提升基础设施服务能力方面的研究。积极探究云计算、云存储等新技术在银行业务、应用模式、应用场景、安全性和可靠性方面的研究与应用，充分分析云计算安全风险，积极探究利用云计算技术，降低信息科技建设和运维成本。研究物联网进展对业务运营与治理模式产生的阻碍。探究物联网在快速识不客户、了解客户需求、为客户制定专项化服务等方面的应用，提升客户体验；探究利用物联网对固定资产进行全流程治理。第六章加强信息科技风险治理，完善研发运维体系“十二五”时期，大中型银行要把加强信息科技风险治理作为一项重要任务，培育信息科技风险治理文化，优化组织架构，制定信息科技风险治理战略、政策、制度、流程、方法，提高组合风险治理水平，将信息科技风险治理纳入到全面风险治理体系中；把风险管控贯穿于信息系统生命周期，建立起信息科技风险管控的日常化、流程化、持续化机制。第一节建立全面的信息科技风险治理体系与长效治理机制─构建全面的信息科技风险治理体系。构建全面的信息科技风险治理体系，依照风险战略与信息科技战略规划，制定信息科技风险治理战略、政策；进一步完善信息科技风险治理组织架构，完善决策流程，推进董事会和高级治理层履职评价；推动将信息科技风险治理纳入全面风险治理框架，探究信息科技风险与其他各类风险组合治理。建立信息科技风险识不、计量、监测和操纵流程，涵盖信息系统生命周期各个环节。建立信息科技风险监测指标体系，明确关键风险指标，建立常态化的信息科技风险监测、预警与处置机制，开展日常评估、检查和审计等工作，全面识不风险，及时制定和实施操纵措施，建立评估操纵有效性的程序。建立清晰的信息科技风险报告机制，定义报告内容、频率、对象及路线，董事会、高级治理层、信息科技部门、风险治理部门以及审计等各相关部门应及时掌握风险状况与趋势。建立信息科技风险信息采集、评估与监控治理平台，建立自动化治理流程。积极探究信息科技风险损失计量方法和计量标准，逐步建立信息科技风险损失数据库，收集信息科技风险损失数据，直观计量信息科技风险损失，实施信息科技风险定量分析及趋势分析，支持信息科技风险治理决策。─加强协作，提升信息科技风险治理协同效应。加强与国家相关部门和机构协作，建立信息科技风险协防机制，提高主动防备能力。加强同立法机构、公安机关、电信、电力、交通、消防等部门协作，保障数据中心等重要基础运营环境安全，促进电子交易法律保障体系建设，打击电子交易违法行为和金融网络犯罪；建立跨行业、跨机构、跨区域的应急协调机制，积极应对各类突发事件，保障业务经营活动持续性。第二节加强信息安全治理，全面提升信息安全保障能力─夯实信息安全基础，推进信息资产分类分级治理。深入开展等级爱护，建立重要系统安全防护体系和技术治理体系，建立主动防备机制。逐步推进信息资产识不和分类、分级工作，建立信息资产分级标准、规范，明确安全策略和爱护要求。落实治理责任，统筹推进信息安全治理工作，确保信息安全治理范围的全面覆盖。加强敏感信息爱护，防止信息资产违规泄露，加强向外部提供信息的统一治理，严格审核，归口公布。综合运用技术和治理手段，加强终端设备的安全治理。--强化系统建设各环节的安全管控，加强安全质量治理。建立和完善信息系统生命周期安全治理机制，加强信息安全治理制度体系建设，覆盖信息安全方针、策略、治理要求、操作流程、应急打算和联动机制。加强信息系统建设全过程安全治理，制定信息安全规划，建立信息安全架构，统一部署信息安全功能，提高安全措施效率。加强需求与设计时期安全功能需求分析与设计，抓好安全测试工作并贯穿系统研发过程，检测安全漏洞，评估安全需求的符合性。加强上线前安全评估，评价系统安全性以及对整体安全保障体系阻碍。加强系统运行安全评审，及时发觉并处置安全隐患。─优化信息安全技术防控手段，实现纵深防备。优化信息安全技术防备体系，在物理安全、网络安全、系统安全、应用安全、数据安全、操作安全等不同层面，完善身份认证、访问操纵、资源治理、日志分析、操作审计等安全功能，主动应对安全威胁，重点防范外部攻击，提升信息安全保障体系的健壮性和有效性。强化基础设施安全保障，深化应用系统安全建设，增强应用产品安全性。建立用户认证和访问操纵治理流程，加强数据访问权限治理，有效爱护信息资产。─建立信息安全保障能力评价机制，保障信息安全治理有效性。建立信息安全保障体系评价机制，建立量化指标，及时开展评估、审计，建立持续改进机制，保障信息安全治理的持续性、有效性。第三节强化研发体系建设，掌握信息科技核心能力─加强软件研发生命周期治理。加强需求治理，建立内部跨部门、跨产品线的需求统筹规划与整合治理机制，明确需求部门、开发部门等各相关部门职责；探究模型化需求分析方法，加强需求分析的标准化、规范化；加强需求分析和需求评审治理，保障业务需求与战略规划的一致性。建立非功能性需求治理流程，制定非功能性需求治理规范。加强开发治理，加强开发模型的研究与运用；完善打算变更、需求变更、设计变更等治理流程，完善授权、审批机制，明确治理职责。加强测试治理，明确测试治理部门职责，完善测试治理制度与流程；产品开发和测试治理职能部门应统筹做好系统测试、集成测试、性能测试、容量测试、压力测试等测试工作；加强测试方法、测试工具的研究和运用，提高测试自动化程度，提高测试效率和测试质量。健全版本治理制度、流程，加强项目群的版本依靠治理，加强软件版本测试。建立软件产品后评估机制，加强产品成本效益分析，强化成本意识，促进软件产品投入产出水平的持续提升。建立研发技术标准框架，制定覆盖主机、开放平台、系统工具软件等方面使用、设计和编码等研发技术标准，加强标准在研发过程中的推广使用力度，持续提高研发治理标准化、规范化程度。─提高软件质量保证与项目治理水平。借鉴国际标准与实践，建立软件产品质量保证体系，制定质量治理标准，加强过程操纵，探究模型与量化方法，提高全面质量治理能力。加强项目治理，完善项目治理组织架构、治理制度和治理流程；加强项目验收和后评估治理力度，强化治理职责，完善治理制度、流程，促进提高资源使用效能。加强流程治理，逐步建立统一的自动化治理平台。探究项目规模评估方法，逐步开展项目规模评估；加强绩效考核，不断提高项目治理精细化水平。─加强自主创新。紧随信息科技进展步伐、紧跟银行业体制改革方向、紧盯金融市场进展趋势，拓宽国际化视野，加强基础性研究，鼓舞和支持自主创新，有效提高研发能力。探究研发模式创新、治理机制创新，推进产学研一体化的进展模式创新。加大基础性研发投入，加强专业队伍建设。跟踪新兴技术进展趋势，积极探究新兴技术在金融创新中的应用。倡导在系统研发生命周期各治理环节建立自主创新工作机制，着力在新技术研究、需求分析、方案设计和软件产品后评估环节加大对自主创新的支持力度。建立激励机制，加强创新成果应用，加强知识产权爱护。第四节强化运维体系建设，提升系统服务水平─加强运维流程治理。进一步完善运维治理流程，健全运维治理制度和标准，重点加强事件治理、问题治理、变更治理、配置治理等关键治理流程和数据治理、机房治理等制度标准建设与执行力。加强治理流程整合，完善信息交互机制，形成闭环治理。强化事件分级制度，建立有效的事件升级及响应机制；加强事件后续分析与处理，不断优化治理流程；建立变更分类标准和变更分级审批流程，完善变更窗口治理制度，有效降低变更对生产运行的负面阻碍；制定配置参数移植、修改、备份、存储、更新、销毁等方面的治理制度，操纵配置操作引发的风险。完善数据存储、使用、传输以及备份治理，进一步制定标准、规范，重点强化客户信息和经营分析数据等敏感数据访问操纵、清理、销毁以及数据变形使用治理；进一步加强机房人员、供电、空调、防火治理。─加大集中监控及一体化治理力度。健全生产系统软硬件、网络及应用系统性能监测指标体系，优化监控策略；在实现对系统、设备、网络、基础环境等监控基础上，重点加强对核心应用系统和电子银行渠道监控；构建统一监控平台，统一治理和展现各种监控资源，实现集中告警方式，全面、及时掌握系统整体运行状态，快速定位故障、缩短处理时刻；加大对总分行监控系统整合力度，提高总行对分行生产系统监管能力，进一步完善监控、响应、处理、报告、反馈和跟踪机制，实现全行范围基础设施和要紧应用系统生产运行情况的全面监控，提高运行治理的全面操纵能力。提高运维治理自动化水平，整合操作、维护、监控、响应、处理等治理流程，推进企业级总控中心（ECC）建设，促进运维治理一体化。─健全运维绩效考核评价机制。建立治理流程评价模型和量化标准，推进职员岗位绩效考核，制定系统运行关键绩效指标，建立生产运行绩效考核指标库；以系统可用率为基础指标，制定应用服务目录，建立生产运行量化绩效考核评价体系，推动提高运维服务水平。第五节建立业务连续性治理体系，保障金融服务持续稳定─构建业务连续性治理框架，为业务持续运营奠定基础。将业务连续性治理纳入银行全面风险治理范畴，建立业务连续性治理组织架构，明确董事会、高级治理层、风险治理部门、业务部门、信息科技部门以及后勤保障等各部门职责，统筹推进业务连续性治理工作。明确业务连续性治理体系建设策略、治理流程、时期性目标与实施路径，探究建立业务连续性全生命周期治理机制，将业务连续性治理嵌入到业务流程中；依照风险战略、政策，遵循“风险可控、成本可算”原则，制定业务分类分级爱护策略，与业务活动的性质、规模和复杂度相适应；探究要素分析模型，深入开展业务阻碍分析，科学确定关键业务恢复次序与恢复时刻要求，明确业务恢复目标；制定恢复策略与业务持续性打算，开展业务持续性治理有效性评估；建立动态的恢复指标治理制度，明确恢复指标归属治理部门，定期评估恢复指标的有效性。优化资源分配，制定容量规划，建立通道治理机制，提高运营支持响应能力。加大培训力度，加强文化建设，提高全员危机意识、风险意识。─加强应急处置，提高协作能力。建立健全应对突发事件的预警、报告、决策、指挥、响应及退出等环节的应急处置机制。制定监测指标，实时监测业务运行状态，及时发觉异常情况，及时预警；建立清晰的报告流程，明确报告路线；建立应急指挥、决策体系，统筹协调，高效决策，保证指挥流程畅通；制定应急处置响应流程，加强关键岗位人员配置。建立应急预案一体化治理体系，建立涵盖总体预案、专项预案等预案框架；统筹预案治理，加强预案之间的衔接与配套；建立有效的预案维护机制，涵盖预案制定、评审、公布、变更和回收过程；制定预案编制规范，保证预案编制质量；强化预案后评价与持续改进机制，保证预案有效性。推进与政府机构、公共事业机构、金融同业机构、银行服务机构等外部机构的应急协作机制，促进信息共享，加强战略合作，推进协调联动。─完善灾备体系，提高灾难恢复能力。依照风险战略与业务连续性目标，制定灾难备份体系建设策略与实施路线；以业务有效恢复为目标，逐步加强灾备体系建设；逐步加大数据、系统、基础设施等各类资源的爱护范围以及恢复能力；逐步推进分支机构灾难备份建设，提高电子银行渠道灾难恢复能力，推进外联交易、支付、清算等重要渠道灾难备份建设。探究灾难备份体系建设模式，加强架构设计，应用技术创新，加强数据中心集约化、标准化、流程化治理；深入研究数据中心“双活”、“多活”建设模式，提高数据中心之间相互备份、切换和接管能力。─加强应急演练力度，保证应急灾备体系的有效性。加强应急演练，加大演练频度、扩大演练覆盖范围，采取打算性、非打算性等多种演练形式，有效验证应急响应及灾难恢复流程、决策机制、指挥体系、报告渠道、资源保障效果与能力，通过演练提高认知、完善技能。逐步推进以真实业务接管为目标的实战演练，逐步加大实战演练频度，全面提高应对重大突发事件能力。推进跨地域、跨机构、跨行业应急演练，加强合作、相互支持、共享经验，促进行业以致社会整体应急治理水平的提高。第六节建立健全信息科技外包治理机制，防范外包风险─确立信息科技外包策略。随着信息科技外包快速进展，在大中型银行国际化、集团化进展趋势下，新的外包风险特征不断呈现，要重点加强外包战略治理，加强风险操纵，适应外包进展趋势。要制定明确的信息科技外包战略与实施策略；坚持“风险可控、成本可算”原则，加强外包决策，审慎确定外包范围，防止过度外包；以提升核心竞争力为目标，加强知识转移，操纵关键技术，提高技术创新能力、自主研发能力与治理服务能力。─建立信息科技外包治理体系。建立信息科技外包治理组织架构，建立治理制度、流程与风险操纵机制。建立外包立项、供应商选择、合同谈判与签署、日常治理和评价验收治理，以及退出和应急治理程序。加强外包服务商资质治理、建立名单制度，审慎选择外包服务商；加强外包合同治理与外包服务活动安全治理，明确服务水平要求，重点爱护信息安全；加强外包变更治理，制定外包服务应急打算；探究建立外包服务保险机制；加强日常监督治理，建立外包服务考核、评价机制。加强集团内部外包风险治理，建立有效的防火墙制度；加强离岸外包风险治理，加强国不风险监测、评估。逐步建立外包服务商资质与服务标准，推进行业外包风险评估机制，防范外包服务商过度集中风险。第七章加大应用体系建设力度，提升经营治理能力与客户服务水平“十二五”期间，大中型银行核心应用系统建设要以提升银行核心竞争力为目标，基于业务进展战略，注重顶层设计，加大科技创新力度，在客户服务、信息治理、产品创新、渠道拓展、风险防范、持续运营等方面大幅度提升应用水平与治理能力。第一节推进核心应用系统建设，打造高效灵活的业务运营平台─建设稳定的基础平台，支持应用系统高效运行。以业务架构为基础，构建灵活、高效、稳定的应用架构。运用层次化、构件化方法整合应用系统，推动建立高内聚、松耦合的应用架构体系，快速响应市场需求。参照前端渠道服务层、服务和交易处理层、后端风险治理及分析决策层的银行核心应用系统分层模式，以服务和交易处理层为中心，通过自助式电子银行、协助式柜面以及外联合作方等前端渠道服务层为客户提供交易和产品服务，向风险治理、决策治理、内部治理等后端风险治理及分析决策层提供基础业务数据。在应用系统架构建设与整合过程中，应注重各应用层以及应用模块的独立性和专业化服务能力，充分考虑业务需求和非功能性需求，有效操纵应用系统复杂度。构建企业服务总线，提高资源重用能力，实现动态、灵活的应用集成，加强多渠道服务整合，提高客户体验的一致性，构建可重用、快速满足市场需求的服务平台。建立统一的整合机制，支持将不同应用或组件提供的功能进行组合以实现新的业务功能；在开放、灵活和安全的基础架构上，提供端到端的跨产品、跨渠道、跨平台的统一解决方案；建立多渠道、多产品统一的客户体验，实现客户信息和产品资源在不同渠道共享，提高各类渠道交叉销售与协同服务功能。─实施产品化开发，提升客户服务能力。在保持传统业务领域产品的稳定和进展基础上，提高产品设计能力和差不化服务能力，在“成本可算、风险可控、信息充分披露”前提下，推进具有核心竞争力的金融产品创新，满足多元化市场需求。以客户为中心、市场为导向，提高市场需求与客户需求分析水平。实现产品化开发，提炼产品属性并进行集中治理和组合配置，实现产品属性对产品生成、公布、销售、使用的关联操纵，支持产品差异化定价。支持客户产品功能的个性化定制，满足客户多元化、个性化需求。构建以市场为导向、统一规范的产品治理平台，实现产品目录自动生成和统一维护，推进全行范围产品生命周期治理。建立、健全企业级客户信息系统，统一客户视图，支持差异化客户营销。实现差不多客户信息数据统一治理、信息共享；以单一、完整、全景视图展现客户信息，唯一识不客户。实现客户群体分类，支持业务部门快捷、方便地获得更准确、更完整的客户信息数据，实现差异化营销。扩大分析型客户关系治理覆盖业务范围，加强与操作型客户关系治理系统的有机整合与数据双向交互，推进事件式营销功能建设，共同组成集营销创意、分析、实施、后评估等功能于一体的客户关系治理系统。完善支付结算处理。加强与现代化支付系统对接的配套系统建设，提高国内跨行支付结算效率。研究建立统一的支付平台，集成行内支付、境内跨行支付、境外汇款及其清算处理，统一治理行内、跨行支付，为支付业务提供高效的清算服务。完善票据系统处理功能，推动票据电子化进展。持续优化票据系统业务流程，支持和推动票据影像和电子票据业务的进展，提高资金支付的效率和安全性，不断扩大电子票据业务品种。─支持网点服务转型，加强外联系统建设与整合。提高网点营销和服务能力，提升网点效能，实现客户分流、客户识不、客户等待超时、高端客户机会营销监控等功能，推进业务后台集中化处理，加快网点由交易型、操作型向服务型、营销型的职能转变。加快柜面业务向电子银行渠道转移，优化自助设备操作流程、提高响应效率，加大自助设备配置，分流柜面压力。注重营业网