中国银行业信息科技“十二五”发展规划监管指导意见之大型商业银行和股份

制商业银行篇

------------------------------------------------------- P2

中国银行业信息科技“十二五”发展规

划监管指导意见之农村金融篇

------------------------------------------------------- P65

中国银行业监督管理委员会

二○一一年六月

中国银行业信息科技“十二五”发展规划监管指导意见之大型商业银行和股份

制商业银行篇

中国银行业监督管理委员会

二○一一年六月

目 录

第一章 信息科技发展状况 ............................................................................................................................................ 3 第二章 面临的机遇与挑战 ............................................................................................................................................ 9 第三章 信息科技发展的目标、原则、重点与实施策略 ..................................................................................... 12 第一节 总体目标 ........................................................................................................................................................ 12 第二节 指导原则 ........................................................................................................................................................ 13 第三节 战略重点 ........................................................................................................................................................ 14 第四节 实施策略 ........................................................................................................................................................ 16 第四章 推进信息科技治理能力建设，加强信息科技战略与企业战略协同 ................................................. 17 第一节 深入开展信息科技治理体系建设............................................................................................................ 18 第二节 优化信息科技组织架构 ............................................................................................................................. 20 第三节 加强信息科技队伍建设，提升信息科技核心竞争力 ........................................................................ 20 第四节 构建信息科技制度框架，有效提高管理水平 ..................................................................................... 22 第五节 建立健全架构管控体系，贯彻落实信息科技战略 ............................................................................ 23 第五章 打造智能绿色基础设施，提高支持业务发展能力 ................................................................................ 23 第一节 加强基础设施优化整合，提高基础设施支撑保障能力 ................................................................... 24 第二节 提高基础设施管理水平，提升基础设施服务能力 ............................................................................ 27 第三节 加强技术应用，提高基础设施可持续发展能力 ................................................................................. 29 第六章 加强信息科技风险管理，完善研发运维体系 ......................................................................................... 31 第一节 建立全面的信息科技风险管理体系与长效管理机制 ........................................................................ 32 第二节 加强信息安全管理，全面提升信息安全保障能力 ............................................................................ 33 第三节 强化研发体系建设，掌握信息科技核心能力 ..................................................................................... 34 第四节 强化运维体系建设，提升系统服务水平 .............................................................................................. 36 第五节 建立业务连续性管理体系，保障金融服务持续稳定 ........................................................................ 37 第六节 建立健全信息科技外包管理机制，防范外包风险 ............................................................................ 39 第七章 加大应用体系建设力度，提升经营管理能力与客户服务水平 .......................................................... 40 第一节 推进核心应用系统建设，打造高效灵活的业务运营平台 ............................................................... 41 第二节 加强内部管理系统建设，提高精细化管理水平 ................................................................................. 46 第八章 加强风险管理基础设施建设，提升风险管理水平 ................................................................................ 47 第一节 完善信用风险管理系统建设 .................................................................................................................... 48 第二节 推进市场风险管理系统建设 .................................................................................................................... 49 第三节 加强操作风险管理系统建设 .................................................................................................................... 49 第四节 推进资产负债管理信息化建设 ................................................................................................................ 50 第五节 加强资本管理信息化建设 ......................................................................................................................... 51 第六节 建立信息披露和报告体系 ......................................................................................................................... 51 第七节 构建风险数据环境 ...................................................................................................................................... 51 第九章 发挥科技创新优势，促进电子银行全面发展 ......................................................................................... 52 第一节 推进电子银行技术与业务模式创新，拓展金融服务渠道 ............................................................... 52 第二节 推进电子渠道整合，促进电子银行服务多元化发展 ........................................................................ 55 第三节 深化风险防控，健全电子银行安全保障体系 ..................................................................................... 56 第十章 建立数据治理机制，推进数据标准化和质量建设 ................................................................................ 59

第一节 提高认识，建立数据治理体系 ................................................................................................................ 59 第二节 加快数据标准建设，统一数据规范 ....................................................................................................... 60 第三节 加强数据全生命周期管理，提高数据质量.......................................................................................... 61 第四节 优化数据架构，推动数据信息逻辑整合 .............................................................................................. 61

第一章 信息科技发展状况

“十一五”期间，大型商业银行和股份制商业银行（以下简称大中型银行）信息化建设取得了巨大进步，各银行机构围绕自身整体发展战略，推进信息科技规划与信息科技架构设计，开展应用系统与基础设施建设，逐步建立安全高效的信息系统运行平台，开发种类多样、功能丰富的产品体系，为加快业务发展、加强内部管理和推进全面风险管理提供了有力支持，信息科技已成为银行核心竞争力的重要组成。同时，信息科技治理机制逐步建立，组织体系进一步健全，信息科技队伍结构与人员素质得到优化和提高，信息科技管理水平得到有效提升。

─ 信息科技战略规划与架构管理能力明显提高，信息化建设有序推进。对信息科技战略规划重视程度不断提高，逐步建立信息科技战略蓝图，明确规划的具体实施路线，规划方法趋向科学；部分银行机构设臵专门的规划管理机构负责蓝图设计并督导实施。重视信息科技架构优化，开展基础架构、应用架构、数据架构规划，推进架构评审管控机制，制定架构管控策略和程序，推动架构规划的贯彻落实。

─ 信息科技治理体系逐步建立，为信息科技可持续发展奠定基础。探索信息科技治理模式，确立信息科技战略定位，提升信息科技服务价值。完善决策体系，明确董事会、高级管理层、信息科技部门以及相关业务部门职责；设立信息科技专业委员会，推进首席信息官制度；优化信息科技组织架构与岗位设臵，加强内控建设，推进专业

化、流程化管理。提高人力资源规划与管理水平，推进素质能力模型应用和员工职业发展。建立信息科技制度管理体系，推进制度持续性建设。提高成本意识，推进信息科技成本管理。

─ 基础设施建设持续加强，信息科技服务能力不断提高。基本完成基础架构建设，加大投入巩固基础设施建设，重点保障核心账务以及关键业务、关键渠道类系统的资源需求。初步建立基础设施相关标准和规范，提升基础设施资源的管理水平和使用效率；实施基础设施资源整合和扩容，提升基础设施对业务运行的承载能力；积极引入新技术，提高资源利用率，推动信息科技资源集约化管理。

在提高基础设施使用效率的同时，深入排查运营风险隐患，积极采用设备冗余、集群等多种手段提升系统高可用性，持续提升信息科技服务能力。开展机房达标工程，提升数据中心机房建设标准，改造机房环境；加强网络规划，做到高可用性与高可靠性并重，为业务发展提供安全的基础保障环境。

─ 信息安全技术保障体系初步建立，信息科技风险管理水平不断提升。初步建立信息安全制度规范和技术标准，强化信息安全风险评估和持续改进机制。初步建立等级化的信息系统安全技术保障体系，积极运用先进、成熟的安全技术和产品，加强信息系统生命周期安全管理。采取有效措施防范信息安全风险，运用加密技术和安全产品，规范和加强身份认证、授权管理、责任认定等，建设网络信任体系，确保交易防抵赖。电子银行分层次、差异化的安全认证方式和服务体系基本建立。广泛采用数字证书和动态口令等手段实现用户身份鉴别，

数字证书载体由文件、智能卡发展到USBkey，语音识别技术在电话银行中得到应用，部分银行机构在ATM机中开始运用指纹识别和视频技术。在信息保护方面，广泛运用防抵赖、抗攻击和加密技术保护系统和信息安全，传统的电话银行和自助设备的安全性大为改善，进一步推动了服务范围的拓展。

研发、运维管理组织架构日趋完善，基本形成了规范化的研发体系和适应大规模数据集中处理的运维体系。积极开展灾备体系建设，强化突发事件应急管理，积极开展应急演练，加强与国家相关部门以及行业间的联防协作，有效提高了应急处理能力。

─ 应用系统建设初具规模，有力支持了业务发展。基本完成数据集中，形成全行“一本账”的账务核算体系，支持由“以账户为中心”向“以客户为中心”转变，基本实现本外币一体化、全功能柜员管理，整合业务功能和处理流程，推进会计记账集中处理，支持业务品种多样化发展。核心应用系统基本保持稳定持续运行，实现了7×24小时不间断服务。建立内部资源管理系统，推进人、财、物的有效管理。完善客户关系管理系统，逐步实现全行统一客户评价标准体系。建立多层次管理信息报表体系，建设集中的报表系统，提高量化管理水平。推进风险管理系统建设，初步建立信用风险内部评级体系，逐步推进市场风险内部模型法建设；开展自我评估与内部损失事件收集等工作，探索实施高级计量法，推进操作风险管理。

─ 电子银行渠道与创新应用不断丰富，金融服务水平持续提高。初步建成电子银行运营管理体系，建立涵盖网上银行、电话银行、手

机银行、自助银行、电子商务的一体化、立体交互式的电子银行产品交易平台，和以客户中心、门户网站、消息服务为支撑的信息服务网络，电子银行交易替代率显著提高，电子银行渠道多样化服务体系基本形成。

加快创新，形成面向企业和个人客户的系列化产品体系。在网上银行方面，普遍提供在线查询、转账、汇款、银证转账、代客外汇买卖等服务，部分银行机构试办网上小额质押贷款、住房按揭贷款等授信业务。在手机银行方面，智能手机应用不断涌现。在自助银行方面，出现存取款一体机、自助缴费设备、自助发票打印设备等新型设备以及基于指纹识别技术的无卡交易。在电子商务方面，为电子商务应用提供全套在线支付解决方案，并进一步丰富了手机支付、电话回呼支付等支付手段。

在充分肯定成绩的同时，也需要认识到存在的问题和不足，主要表现在以下方面：

─ 信息科技与业务融合不足，信息科技治理水平有待提升。信息科技战略与企业战略结合不够紧密，部分银行机构尚未从企业战略层面开展信息科技整体规划；业务部门对信息科技战略规划的制定参与不够，业务架构不够清晰；信息科技战略规划后评价机制有待完善。信息科技组织结构、决策机制有待加强，决策职责分工和关键决策范围不够清晰，缺乏科学的决策分析方法和决策工具，缺乏有效的监督问责机制。首席信息官机制有待进一步推进。在信息科技架构与标准管理方面，尚未形成专业化的组织管理体系，对信息科技建设与运行

的整体指导作用有待加强。制度框架有待完善，制度执行和监督力度相对薄弱；技术标准亟需健全。信息科技人力资源管理体系有待健全，部分银行机构信息科技人力资源不足，存在科技人员总量占比少、关键岗位配比低、核心技术领域高端人才缺乏等问题。绩效考核体系不够完善，激励与约束机制有待加强。信息科技成本管理有待加强，资源配臵效率有待提高，信息系统建设投入产生的业务价值有待于量化评估。

─ 应用系统对经营管理和风险防控的支撑力度有待加强。应用系统架构扩展性和灵活性不足，应用系统间耦合性高，核心应用系统运行传导性风险较大。核心应用系统缺乏统一的产品管理机制，产品配臵与产品组合灵活度不够，产品开发周期长。应用系统建设整体规划不足，“部门银行”现象、重复建设与资源浪费现象较为突出。管理信息系统对经营决策与前台营销支持不够；分析型客户关系管理系统所覆盖的业务范围不全面，与操作型客户关系管理系统的整合程度不高；指标流程化、规范化管理程度不高，应用系统对报表灵活定制的支持程度有待提高；对并表的自动化处理能力亟待加强。风险量化模型建设与系统整合度有待加强；各类风险模型的准确性、稳定性、规范性与透明度有待提高；计量结果在风险管理流程与风险监控等方面的应用有待提高；风险管理系统建设的整体规划前瞻性与系统性有待加强。

─ 基础设施的灵活性和完备性不足。信息科技基础设施复杂度高、部署时间长，基础设施布局规划不足，支持业务发展的灵活性和

完备性不足，难以有效适应业务快速发展需要。数据中心规划选址过于集中，区域性风险较为突出；建设标准和管理规范有待完善；内部能耗偏高，资源循环利用能力有待提高，运营成本控制有待加强。部分银行机构数据中心安全保障和运维管理能力不足。

─ 数据标准规范不够完善，数据质量和共享水平亟需提升。数据治理体系建设较为滞后，缺乏专业化的数据治理组织机构以及明确的责任人体系，尚未形成良好的决策机制和管理机制。数据标准体系不够完整、清晰，数据标准贯彻执行力度亟待加强。数据质量亟待提高，对于风险管控和精细化管理的支持亟待加强。应用系统建设存在“重功能、轻数据”现象，难以提供准确、完整、统一的基础数据。风险数据同业共享机制有待建立。数据质量的长效管理机制与持续改进机制亟待加强。

─ 信息科技风险管理本身存在薄弱环节。信息科技风险管理尚未纳入全面风险管理体系；对信息科技风险的认识不充分，管理资源投入不足；对国外技术及设备的依赖度过高；信息科技外包缺乏整体规划与战略性设计。研发和运维体系有待加强，制度、标准与流程建设有待完善，研发质量保证体系、运维自动化与一体化以及绩效考核评价体系有待进一步健全。业务连续性管理处于起步阶段，业务应急机制不足，应急预案体系不够完整，信息系统灾备有效性不足，灾备切换演练未能真正贴近实战。电子银行的经营环境有待完善，制度、法规建设有待加强。外部攻击威胁以及银行卡和电子银行犯罪问题日益

突出，安全防护能力建设有待加强；银行间信息共享和追踪配合机制有待建立。

第二章 面临的机遇与挑战

“十二五”时期，我国银行业面临新的发展机遇与市场环境，也面对新的风险与挑战。在这一重要战略机遇期，要实现提升核心竞争力、稳健经营、安全运行的目标，需要加强战略规划，深化内部控制和风险管理，转变经营理念、管理体制和发展模式。在这一背景下，大力推进信息化建设，以科技进步和创新支持银行业可持续健康发展并不断提高国际竞争力，是银行业应对挑战、提升整体综合实力的战略举措。

─ 经营环境发生深刻变化。“十二五”时期，在加快转变经济发展方式和经济结构战略性调整的背景下，我国银行业经营发展环境将发生深刻变化。金融市场发展，利率市场化改革，银行监管标准的实施都将对商业银行经营模式产生重大影响。在日益复杂的经营环境下，银行业金融机构需要在信息科技、流程再造和产品创新上实现新的突破，促进信息科技与业务融合，增强信息科技创新与服务能力，强化风险管理基础设施，积极推动业务转型，提高全面风险管理能力，转变规模扩张的外延式发展模式，走集约化、内涵式增长之路。

─ 精细化管理要求更加迫切。银行业新业务、新产品、服务新领域和新的管理方式不断涌现，交易规模日益扩大，市场竞争不断加剧。要提高市场效率，降低交易成本，减少操作风险，亟待提高精细化管

理水平以提升核心竞争力。随着“以客户为中心”理念逐步深化，全面、准确、及时的多维度利润核算需求更加迫切，亟需建立先进的客户管理和市场细分系统，加强业务信息整合，提高市场分析和客户需求分析水平，提高资金运营效率。

─ 大型银行国际化进程加快推进。随着人民币国际化、利率汇率市场化改革的深化，我国国际经济合作范围不断扩大，企业和居民的跨境金融服务需求日益增长。在推进国际化经营过程中，银行机构需要制定清晰的国际化发展战略，具备与全球金融一体化相适应的风险控制能力和业务转型能力，提高运营效率和服务质量，提高业务连续性水平。在信息科技方面，要制定支持国际化的信息科技战略与规划，构建面向境内外、具有前瞻性和灵活性的体系架构，进一步整合业务流程，建立集约化运营机制，支持信息共享与业务联动；统一标准，快速部署产品，提升一体化全球服务能力，提高跨境风险防控能力。

─ 业务转型步伐加快推进。随着发展环境的深刻变化，银行机构需要调整经营结构、加快转变发展方式，制定差异化发展战略、推进业务转型、实现错位竞争。在坚守传统业务的同时，大中型银行从批发业务为主到批发、零售并重，从利差收入为主到逐步加大中间业务收入，形成多元、均衡、稳定的盈利增长格局。同时，随着资本市场发展，在收入多元化、客户需求多元化以及市场竞争需要等多重因素驱动下，大型银行积极拓展新的业务空间，审慎推进综合经营，增强一体化服务能力和跨市场盈利能力。为支持和推进业务转型，银行机构要进一步完善信息科技治理模式，提高信息科技规划、架构及标准

化管理水平，推进数据整合、流程整合；细分客户群、深入挖掘客户需求，加快产品创新、提升资产管理水平、提高经营管理能力。

─ 风险管理步入新的发展阶段。“十二五”期间，国际金融监管架构和规则发生重大变化，金融机构改革不断深化，金融调控机制不断完善，新监管标准全面实施，我国银行业风险管理将发展到一个新的阶段。银行业要强化风险管理基础设施建设，完善风险治理组织架构，运用新型风险计量工具，强化内部控制和审计职能，改进激励考核机制；要强化数据基础，强化信息系统建设，为风险政策制定和实施、风险计量工具运用及优化奠定基础。同时，伴随信息技术与互联网高速发展，银行服务电子渠道日益多样，银行管理所涉及信息量急剧增大，加强客户信息保护，防止信息泄露风险任务更为艰巨，需要全方位地在应用系统生命周期、数据生命周期、基础设施环境运维等各个方面强化信息安全管理。

─ 科技创新推进业务变革。“十二五”时期，科技创新孕育新突破，新技术快速发展与我国经济社会信息化水平的全面提高，为银行业信息化发展提供了新的空间。各类消费电子技术蓬勃发展，三网融合进程加速推进，电子商务应用深化，客户与银行沟通的渠道将更为多样化，银行的销售和服务模式将发生深刻改变，多渠道灵活接入、多渠道整合、多渠道安全管理等，对银行应用布局、第三方合作管理、安全体系设计提出新的要求。宽带、影像、工作流及其它自动化技术更为普及，银行后台集约化运营的广度和深度都将进一步推进，对于信息科技应用架构布局、网络支撑能力、科技队伍研发能力提出了更

高要求。随着绿色、低碳技术不断突破，需要提高基础设施容量规划、监控和管理能力，提高基础设施使用效率，有效降低成本。

第三章 信息科技发展的目标、原则、重点与实施策略

第一节 总体目标

以满足业务发展战略要求为目标，全面优化信息化建设发展环境，努力提高信息科技自主创新水平，强化信息科技风险防范和信息安全保障能力，加强全面风险管理基础设施建设，推进向信息化银行转变；树立“科技引领”理念，增强核心竞争力，促进信息科技与业务发展的深度融合，推动业务和产品创新、流程创新、管理创新，增强可持续发展能力，为社会公众提供丰富、安全和便捷的多样化金融服务。

主要目标是：

─ 深化信息科技治理。建立信息科技治理机制和治理模式，完善信息科技治理决策机制，优化信息科技人才队伍总量、素质、结构，完善制度体系，提高信息科技资源的使用效率与效果。

─ 提高自主创新能力。加大应用研发和产品创新力度，以科技创新促进客户服务、产品创新、渠道拓展、风险防范、持续运营、管理 决策能力的大幅提升。

─ 加快发展电子银行。加大电子银行发展力度，拓展应用领域，发挥电子银行引领金融创新作用，推进电子银行成为银行交易主渠道和服务主平台，形成强大的产品与服务竞争力。

─ 不断夯实基础设施建设。持续优化基础设施规范和标准，进一步加强重要基础设施建设，逐步提升基础设施管理水平，不断增强服务保障和可持续发展能力。

─ 深化数据治理，夯实数据基础。建立数据治理体系与数据标准，提升数据质量和数据应用水平，提高数据价值创造能力。

─ 大幅提升信息科技风险防控能力。建立风险防控体系，推进信息科技风险管理与国际先进水平接轨，提升信息安全保障能力。

第二节 指导原则

坚持科学发展，注重战略思维、国际视野与创新理念，紧密跟踪银行业务发展趋势，把握信息技术应用方向，不断提升信息科技工作的集约化、规范化、自动化、精细化管理水平，有效平衡业务发展与信息科技能力建设、信息科技风险管理之间的关系，促进协调发展，全面提升信息科技核心竞争力，使信息科技成为推动业务转型、管理变革、产品创新和战略落实的重要力量。

─ 坚持围绕银行发展战略原则。要树立以信息科技发展进步提升银行核心竞争力、提升客户服务水平、促进业务发展的思想。要始终围绕银行总体发展战略和目标，以客户为中心，与业务紧密融合、协同发展，实现业务发展和信息科技水平的同步跃升。

─ 坚持自主创新原则。要坚持自主创新的科学发展道路，树立创新精神，提高研发能力，牢牢掌握信息化建设主动权。要充分发挥信息科技的第一生产力作用，将自主创新能力建设作为银行信息科技发展的战略重点，坚持自主研发与适度引进相结合，注重知识转移，重视培养创新型专业人才队伍，推动银行核心竞争力的有效提升。

─ 坚持全面风控原则。随着信息科技日益深入运用到银行经营管理全过程，要将信息科技风险管理纳入银行全面风险管理体系，贯穿于银行各个经营领域，覆盖信息系统建设的全生命周期，完善信息科技风险管理体系，提升信息安全管理水平，保障信息系统安全、稳定运行。

─ 坚持科技引领原则。要紧密围绕银行发展战略，把握大中型银行业发展方向，切实加强信息科技核心能力建设，以科技进步和创新引领银行业务创新与发展，推进银行发展方式的战略性转变。

第三节 战略重点

─ 树立“科技引领”发展战略，推动转变发展模式。充分认识信息科技在银行现代化建设中的核心价值，树立“科技引领”发展战略，把信息技术作为推动银行转变发展模式、实施差异化战略的关键源动力。以科技为依托，以创新为手段，形成特色服务与市场品牌，提升产品研发能力、差异化服务能力与支持保障能力。

─ 深化治理，着力提高信息科技核心竞争力。着重信息科技体制机制创新，加强激励与约束机制建设。完善信息科技决策机制，提高

决策的科学性、有效性。加强信息科技队伍建设，科学规划信息科技人才成长路径，加快创新型、专业型、复合型人才培养，形成具有自主创新能力、具有国际化视野的高端信息科技人才核心梯队。加大信息科技投入，夯实基础设施建设，优化资源配臵，探索精细化管理的有效方法，提高银行信息科技发展的核心竞争力。

─ 提高信息科技自主创新能力，提升金融服务创新和服务水平。创新是银行可持续发展的源动力，应紧紧围绕业务发展战略重点，坚持业务与信息科技协调发展。深入研究业务发展格局，跟踪全球金融服务信息化发展趋势，关注新技术发展方向，加强基础性、前瞻性、关键性技术研发，提高自主创新能力。重点突破信息科技服务的薄弱环节，从银行与客户的价值链入手，深度发掘客户需求，增强创新产品附加值，提高创新的系统性和针对性，通过信息科技创新带动管理创新、服务创新和产品创新。

─ 构建立体化全面风险管控体系，提高信息科技风险防控水平。要制定全面风险管理系统建设规划，按照新监管标准实施要求，加强风险管理数据基础设施的建设和风险计量模型的应用，建立健全具有统一性的、集成化的，覆盖信用风险、市场风险、操作风险及其它实质性风险的全面风险管理系统；建立内生式的主动风险管理模式，使风险管理成为银行健康、稳健经营的重要保障力量。要把信息科技风险管理纳入银行全面风险管理体系中，逐步完善规章和制度，贯穿于业务流程，覆盖信息系统生命周期各个阶段，逐步建立起信息科技风险管控的日常化、流程化、持续化机制。

─ 紧密结合新技术，构筑现代化电子银行。充分发挥电子银行对金融创新的引领作用，以电子银行创新推动金融现代化发展，加快推动电子银行在社会各领域的全面运用，进一步提升公众金融服务的质量和效率，使电子银行成为银行交易主渠道和服务主平台。电子银行建设应始终贯彻发展创新与风险可控并举，业务模式创新与技术创新并重。要充分运用电子银行的渠道优势、运营优势、服务优势和营销优势，加快电子银行发展和传统金融服务提升的相互促进，实现电子银行的持续、稳定、快速、健康发展。

─ 全面提升数据共享水平，深入挖掘数据的业务价值。数据是银行最为重要的资产，是银行业务经营与信息科技应用的核心，是支持精细化管理、提升风险分析能力的基础。在推进应用系统逻辑集中过程中，核心是建立统一的数据标准，实现各类应用之间的互联互通，保证数据的真实性、完整性、一致性，全面提升数据应用价值。

─ 加强环境建设，促进行业协调发展。积极配合国家相关部门，完善法律法规体系建设，有效防范金融信息犯罪和网络犯罪；加强协作，积极开展银行业交流与合作；加强金融信息标准化建设，提升公共信息共享能力，促进银行机构与非银行金融机构以及公共事业机构的合作，建立公共接入平台，推进跨机构、跨行业的高效互连互通。

第四节 实施策略

为保障“十二五”时期信息科技主要任务的完成和总体目标的实现，采取“加强领导、统筹规划，加强保障、有序推进”实施策略。

─ 加强领导、统筹规划。董事会和高级管理层要高度重视信息科技工作在全行经营管理、风险防控、自主创新等方面发挥的推动和引领作用，从战略高度和全局角度科学谋划信息科技工作，总揽全局、科学决策，加强指导、突出重点，扎实推进、狠抓落实。要着力解决当前存在的突出问题，有效落实“十二五”时期各项工作任务，大力推进信息科技能力建设。要进一步促进业务与技术的深度融合，充分调动各方面的积极性、主动性、创造性，相互协作，群策群力，形成信息科技建设的强大合力。

─ 加强保障、有序推进。要坚持以人为本，切实加强人才培养，不断充实人才队伍、构建人才梯队。统筹安排规划实施所需经费，切实保障重大项目顺利实施；继续加强对信息科技重要基础设施建设投入，不断完善成本管理机制，提高信息科技资源集约化、精细化管理水平。要根据“十二五”信息科技建设总体目标，基于差异化发展战略，客观评估差距，明确目标，分步实施，有序推进，持续优化；要根据经营环境的变化，结合业务发展趋势，适当调整、持续优化规划内容，提高对业务发展变化的适应性，保障规划的科学性、有效性。

第四章 推进信息科技治理能力建设，加强信息科技战略

与企业战略协同

逐步建立长效的信息科技治理机制，确立信息科技治理模式，强化决策机制，完善制度建设，优化组织架构，加强成本精细化管理。

第一节 深入开展信息科技治理体系建设

─ 构建长效治理机制。推进在现代公司治理框架下、与业务运营模式相适应的信息科技治理模式与治理机制。完善信息科技治理结构，发挥董事会在信息科技治理中的核心作用，提高监事会监督效果，建立信息科技治理履职评价制度；加强信息科技委员会建设，推进首席信息官制度；完善信息科技决策规范和流程，提高信息科技决策专业性，把握信息科技发展方向与战略；分阶段、有步骤推进信息科技治理建设，逐步提高信息科技治理成熟度。

─ 加强信息科技与业务的协作融合。进一步建立新的环境下信息科技与业务部门间关系定位与责权利制度框架，推进业务和信息技术相融合的创新机制，倡导建立战略性合作关系。进一步明确在信息科技管理活动中业务部门的职责、流程，强调并发挥业务部门在业务需求分析与整合、应用项目业务价值分析、项目可行性研究与用户验收测试等过程中的主导、推动作用。

─ 加强内部管理。提高信息科技资源使用效率，提高成本管理水平，逐步建立可量化管理的信息科技服务需求与交付管理体系、信息科技项目评估体系，从业务价值、信息科技成本收益、信息科技服务水平等多维度对信息科技资源利用效果进行全过程的跟踪评价。

─ 加强信息科技决策体系科学化、规范化建设。加强决策体系建设，明确决策流程、授权机制、决策方法，加强制度和规范建设，着力提高决策的透明度和科学性。要建立科学决策的组织架构，明确董事会、高级管理层、专业委员会、各部门在决策过程中的职责分工。

决策领域要覆盖信息科技关键决策，应包括战略决策、架构决策、重大项目建设决策等重要领域。要加强对决策过程与执行效果的审计监督，加强约束，落实责任。

─ 加强成本管理，推进信息科技财务管理体系建设。应进一步增强成本意识，完善信息科技财务管理体系，逐步建立信息科技预算、成本控制、成本分摊一体化的财务管理体系，提高信息科技资源使用的效率与效果。建立健全精细化的信息科技预算管理体系，加强成本控制。加强战略与规划对信息科技预算的指导性，提高信息科技预算的精确程度，提升资源配臵决策质量和配臵效率。建立完善信息科技预算考核机制，明确项目开发与系统运维服务预算相关主体职责权限，并将预算考核纳入到相关责任主体绩效考核中，提高信息科技资源使用效率与效果。

强化全面成本管理理念，逐步建立成本分摊模型和内部计价机制。逐步完善数据基础与管理工具，合理归集与分配信息科技成本，为精细化的信息科技财务管理奠定基础。建立对信息科技投入的评价与考核机制，逐步强化需求部门对于信息科技服务的成本观念，基于投入产出分析或成本收益分析进行信息科技投资决策，加强成本控制。基于信息科技资源使用量与服务水平等要素，建立精细化的信息科技成本分摊框架与分摊方法，逐步提高信息科技部门成本管理水平以及成本分摊的准确性，促进资源合理利用。探索信息科技服务水平协议管理方法，探索实施信息科技服务内部计价。

第二节 优化信息科技组织架构

基于战略规划与治理要求，持续优化信息科技组织架构，重点解决管理职能交叉或缺失、运行效率低下等问题，并建立信息科技组织结构评估与优化机制，持续提升组织管理能力。应定义关键信息科技能力，明确研发策略。应依据内控与合规建设要求，建立包含信息科技专业委员会、信息科技管理部门、信息科技风险管理职能部门与信息科技审计职能部门的组织体系，明确职责和人员岗位要求；重点加强在信息科技规划与架构、研发与项目管理以及制度与标准建设等重点领域的组织建设。

增强信息科技服务能力，加强服务流程管理。在业务需求管理、项目管理等领域，建立面向内部用户的、稳定的服务界面，提高信息科技与业务协作效应；在信息科技运行维护等领域，建立基于服务流程的、专业化、集约化信息科技服务组织体系。

第三节 加强信息科技队伍建设，提升信息科技核心竞争力

牢固树立人才资源是科学发展第一资源的观念，系统规划科技人才队伍建设，并纳入长期战略，统筹抓好各类人才队伍建设；要加大培养力度，引进优秀人才，建立健全科学的培训体系，完善职业生涯发展规划，健全绩效考核机制，打造梯次合理、素质优良、专业化程度高、适应战略发展要求的科技人才队伍。

─ 继续加大信息科技人力资源投入，提高关键岗位信息科技人员比例。科学制定信息科技人力资源规划，加大信息科技人力资源投入，提高关键岗位信息科技人员比例；原则上，信息科技人员占比应不低于3%。以自主开发为主的银行机构，信息科技人员占比应不低于4%。

基于人力资源规划目标，建立人员补充机制；董事会和高级管理层应督促、指导制定有关人力资源政策和措施。应进一步明确总、分行信息科技职能定位，优化总、分行科技人员配臵结构。

─ 拓宽信息科技人员职业发展空间，完善激励约束机制。应完 善岗位职责说明书制度，细化人员岗位职责和技能要求。进一步建立并持续完善与行政序列并列、与薪酬挂钩的信息科技专业职级体系，完善晋升机制，拓展信息科技人员职业发展空间。应进一步完善激励约束机制，制定精细、量化的绩效考核指标，全面、科学评价信息科技部门与人员工作绩效。

─ 明确核心能力发展要求，完善人才培养机制。明确信息科技核心能力，制定适合银行发展战略的专业人才培养计划。基于信息科技战略与规划、信息科技人力资源规划、外包策略与未来技术方向明确核心能力要求，制定信息科技人员专业化培养方向，在需求分析管理、架构管理、测试管理、系统与数据库管理、服务水平管理等关键领域加强专家级人才的培养与引进。

进一步提高信息科技培训的专业化水平，针对不同关键岗位和关键能力，制定细化、差异化培训目标，推进信息科技培训与专业岗位技能要求的有机结合；应紧跟信息科技与业务发展动态，建立覆盖入

职培训、在职岗位培训、专业培训的全方位培训课程体系。加强培训效果评估和跟踪，提高培训成果转化率。

第四节 构建信息科技制度框架，有效提高管理水平

制定、完善信息科技制度体系建设策略，明确制度框架、职责分工和授权原则、重点建设领域及其优先级。制度框架要基本覆盖信息科技各主要领域，包括战略规划、架构、运行、开发、测试、安全、灾备管理等。要不断完善各项制度，结合实际情况，重点加强对架构管理、数据治理、外包管理、信息科技成本管理和业务连续性管理的制度建设和流程建设。

应设立专业化团队或岗位负责制度体系建设的总体管理，承担组织协调以及框架体系建设、制定建设计划、统一建设标准等各项工作。应明确各级管理人员在制度管理领域角色和职责，明确各项制度、流程和标准建设的责任人。应建立制度建设持续改进机制，加强制度变更管理。积极推进多渠道的制度宣传和培训，提高制度执行力。

充分认识信息科技标准化工作意义，统筹规划总体框架、积极构建全行统一的技术与管理标准体系，贯穿于企业架构各个层次，覆盖系统、应用、安全、数据等各领域；要建立健全标准管理流程，建立专家评审机制，把好标准质量关；要加强对标准实施情况的监督、跟踪，开展标准后评估和修订工作，保持标准的连续性和一致性；要积极借鉴国际标准和最佳实践，注重与国际标准的兼容，加强我国银行

业自身标准的研究、制定；要树立标准的权威性，切实增强标准的执行力、影响力。

第五节 建立健全架构管控体系，贯彻落实信息科技战略

充分认识信息科技架构规划的重要性，在业务架构基础上，建立覆盖应用架构、数据架构和基础架构的信息科技架构规划。要制定并落实应用架构、数据架构、基础架构建设原则，建立架构设计规范标准，指导并约束项目和项目群实施。

建立信息科技架构管控流程，完善战略规划、架构设计、项目群实施的全流程管理体系，加强协同与融合，逐步从项目驱动、业务条线驱动方式转变为架构驱动的信息科技建设模式，建立企业级架构管控组织和流程，建立架构管控平台，确保架构贯彻落实。

建立架构评价体系，持续跟踪并监测架构规划的执行情况，在保持架构相对稳定的基础上，适时调整架构规划以适应发展要求。探索架构成果资产化管理，将企业架构成果纳入到可重用资产管理范畴，建立企业架构资产库。

第五章 打造智能绿色基础设施，提高支持业务发展能力

“十二五”时期，大中型银行应切实加强基础设施整体规划、建设和管理，充分满足经营管理战略转变和业务创新要求，适应业务发展趋势，快速响应应用系统灵活部署的要求。

第一节 加强基础设施优化整合，提高基础设施支撑保障能力

─ 提升基础设施规范化水平，建立弹性的基础设施架构。系统性地规划信息科技基础设施整体架构，针对系统、网络、机房环境等基础设施建立完善的规范和标准体系，建设高效率、高整合、低能耗、易管理、易扩展、前瞻性的绿色、智能、弹性基础架构，确保基础设施建设快速、有效、可持续发展，实现投入产出的最大化，为业务发展提供有力支撑。

建立健全信息科技基础设施规范和标准体系，提升信息科技基础设施建设和管理水平。根据业务发展战略和应用系统部署规划，借鉴国际标准和最佳实践，以优化整合、高效稳定、灵活动态、绿色节能为原则，以可量化、可操作、可评估为目标，制定硬件设备、操作系统、数据库、中间件、存储等软硬件平台规范和技术标准，为应用系统规划设计、部署上线和运维管理提供指导；制定数据中心局域网、广域骨干网、广域接入网、Internet接入网等网络规范和技术标准，加强网络安全控制，提升网络整体效能；制定涵盖机房选址、土建、内部装修、供配电、给排水、暖通与空调、安保、综合布线、楼宇自动化等方面的机房环境建设规范和技术标准，为数据中心规划设计、建设实施和运维管理提供指导。

推进现有基础设施优化整合，建立弹性的基础设施架构。按照应用架构、数据架构规划和部署要求，自上而下的确定基础设施建设和发展路径，在充分分析基础设施现状基础上，有计划、有步骤推进现有基础设施优化整合，逐步建立模块化、组件化、标准化的弹性基础

设施架构，降低基础设施架构的复杂度，实现架构动态可扩展，并建立与之相适应的运维流程和服务管理体系，推进基础设施向灵活、高效、安全可靠和可管理的方向发展，有效缓解现有基础设施规模不断扩大、基础架构复杂多样、运维管理难度不断加大的局面，提高各类基础设施资源的使用效率和服务支撑能力，满足业务应用快速部署的总体目标。

─ 推进系统软硬件平台优化整合，提升系统资源利用的集约化程度。基于“一体化”和“差别化”原则，综合分析和梳理各种系统资源的共性功能，通过虚拟化、标准化、自动化等手段实现组件化的基础设施资源配臵，建立服务器和存储资源池，提高系统资源的灵活性、可用性，提高利用率，降低系统的复杂度和管理成本。建立与系统资源池相适应的基础软件资源组，建立基础软件生命周期全过程的使用策略、更新升级机制和退出机制，建立高效、经济的基础软件服务体系。

─ 推进网络平台动态调整，建立灵活高效的网络架构。进一步加强面向业务的网络资源快速调度和网络资源优化整合，全面提升基础网络对业务的服务保障能力。利用网络虚拟化技术和面向应用的网络技术，实现信息资源在网络上的智能动态分配，提升网络架构负载均衡、迂回路由、无缝切换和故障隔离能力。推进统一网络支撑平台建设，实现业务数据、语音、视频的全网融合，并针对不同类型的业务流制定网络安全和动态流量分配策略。积极探索数据中心、网络中心松耦合模式，提供流量汇聚转发与业务服务之间清晰的管理边界，在

保持网络整体结构稳定的同时，提高网络架构的扩展性以及对业务支持的灵活性。结合自身经营管理模式和业务发展需要，研究广域接入网汇聚模式改造，取消二级网络汇聚功能或二级骨干网，满足分支机构网络扁平化接入要求，简化网络部署架构和运维管理成本。

─ 加强数据中心规划，切实提高基础设施防灾减灾能力。根据业务发展战略，从国家战略安全出发，参考“两地三中心”或“多中心互备”等数据中心布局模式，加强基础设施规划和风险防控。新建或在建的数据中心项目，在规划过程中要统筹考虑区域地理环境、配套设施等综合因素，兼顾自身风险偏好与行业全局风险控制要求，在全面风险评估基础上进行基础设施选址，避免规划选址处于地震、台风、水灾等自然灾害多发地带，避免区域性过度集中而产生的风险传导与放大效应，加强全局性风险防范能力和对灾难的快速恢复能力。已建成的数据中心项目，应重点分析基础设施所在区域地理环境、电力与通讯保障、安防等风险因素，切实加强应急管理和风险控制，强化内部安全管控措施，加强与所在区域外部保障的联动能力，防范外部环境风险隐患。

充分考虑业务与技术发展趋势，合理规划数据中心建设规模和容量，积极倡导数据中心区域模块化设计和分区分级管理，提高功能空间的扩展和灵活分配能力，统一规划基础环境保障资源，实现供电、空调等基础环境保障资源容量动态分配和调整，提高环境资源的利用效率，优化基础设施环境资源使用方式，有效提升服务保障能力。

第二节 提高基础设施管理水平，提升基础设施服务能力

─ 加强基础设施在业务应用全过程中的管理，实现基础设施资源按需配臵和动态调整。加强基础设施在业务应用的需求分析、规划部署、运行维护和退出各阶段管理，在灵活、可扩展的基础设施架构基础上，满足业务应用各阶段对基础设施资源的动态需求。

在需求分析阶段，建立对业务应用资源需求的预评估机制，在实现初步功能需求基础上，提供基础设施架构中相应的资源组合和平台方案，并进行能力验证。在规划部署阶段，基于业务发展趋势分析，满足业务应用对基础设施部署方式、处理能力、软硬件平台、存储容量等需求，实现基础设施服务的标准化、自动化管理，保证基础设施资源中各组件发挥最大效能。在运维阶段，及时调整资源配臵以满足应用的变更管理与配臵管理；建立业务需求跟踪管理机制，定期分析资源使用状况，分析业务发展趋势，及时进行资源的再分配与再利用。在退出阶段，及时将基础设施资源回收到资源池，实现资源的再分配；及时更换和淘汰资源池中的老旧系统和设备，保证资源池的健康性，保障在线应用系统的安全、稳定和高效运行。

─ 加强基础设施安全管理，全面提升基础设施安全水平。进一步优化系统整体架构、降低复杂度，加强设备冗余配臵，加强实际冗余能力验证，采用高可用或虚拟化等技术手段保障系统设备运行的安全性和可靠性。加强系统基础软件访问控制和权限管理，降低偶然或恶意入侵破坏、更改信息或泄漏信息威胁。

加强网络安全访问控制机制建设，细化数据中心局域网网络功能分区建设，合理划分安全区域与安全等级，采取相应的网络安全策略，强化数据中心局域网整体安全性。加强与内部分支机构、外部网络互联的安全隔离与控制，防范网络外部入侵和攻击。保障数据中心、运营中心、外部第三方等多点的网络互联安全，采用多路由接入、备用网络等措施，化解网络安全风险，保障前后台业务间和第三方接入访问通畅。

加强机房环境安全，重点加强机房电力、UPS和冷却系统等关键机房环境设备安全保障，在设备技术标准和配臵容量、设备备品备件以及技术维护服务保障等多方面，提高电力、UPS和冷却系统的可靠性和安全性。严格制定并落实机房管理制度，加强机房环境消防安全，消除消防漏洞带来的环境安全隐患。

建立基础设施安全验证机制，明确基础设施安全验证范围及方式，重点验证系统和网络高可用的完备性，基础环境设备的备品备件配臵完整性，以及相关人员在各项安全保障流程中的操作规范性，检验基础设施相关的安全、流程和管理措施漏洞，确保基础设施安全管理有效性。

─ 加强业务目标与基础设施建设方向的一致性，提升基础设施资源配臵的精细化管理水平。明确各类业务的基础设施资源需求，建立基础设施资源配臵计划。在业务分类分级的基础上，结合业务发展目标和基础设施规划，按照绿色弹性基础设施架构要求，依据系统、网络、机房环境等基础设施建设规范和技术标准，建立对应各类业务需

求的基础设施资源配臵计划。并根据业务、技术和基础设施发展情况，适时调整资源配臵计划。

加强资源配臵方案论证和评估，规范资源配臵流程。加强对资源配臵需求方案的论证和评估，综合考虑业务类别、级别、规模、发展趋势和运营模式等因素，按照基础设施资源配臵计划，确定系统软硬件、存储和网络等各方面基础设施资源配臵要求，有序组织各项资源配臵实施，实现基础设施资源集中配臵和统一管理。

推进基础设施服务水平的量化管理。建立系统的、可操作的基础设施服务评价指标，包括基础设施配臵对业务应用需求满足程度、基础设施提供服务的可用性、基础设施资源变更的有效性、基础设施资源成本的可控性等。

第三节 加强技术应用，提高基础设施可持续发展能力

─ 践行绿色节能社会责任，提高基础设施可持续发展能力。推进基础设施使用方式的转型，落实弹性基础架构建设，实现对基础设施资源集约高效利用。积极采取合适的绿色节能技术，履行节能降耗社会责任。

加强基础设施冷却系统和供电系统规划设计。根据数据中心所在区域的自然环境状况，探索液体冷却、自然风冷、精确制冷、变频制冷和热能回收等制冷节能技术应用，提升数据中心制冷能效比。选择电力传输和转换效率高的设备设施，采用适宜的智能电力调度系统以实现供电系统的高可用、智能调度和节能减排。重点关注建筑群体能

耗、服务器能耗、空调能耗、UPS能耗，实现日常运行过程中对重点能耗的监测与统计，提高基础设施节能水平，降低基础设施运行成本。

加强基础设施整体规划，通过高效率、高密度、虚拟化设备集群实现节能降耗。推进闲臵设备与能效比低的老旧设备替换，推广应用节能、高效率设备，降低数据中心部署设备的整体能耗；提高机架单元的功率密度，通过虚拟化等技术提高设备负载运行的能耗效率。采用能耗管理工具提高电力和冷却系统设备承载量；加强各类系统设备能耗监控装臵配备。

积极跟踪、试点先进节能降耗技术，持续有效的推进节能工作。积极试点可再生能源利用；结合基础设施所在地域特点，采用先进的建筑节能措施，改造现有基础设施环境；探索回收节能、交换节能、自适应节能等技术应用。

─ 加强新技术在基础设施领域的应用，提升基础设施服务保障能力。在风险可控前提下，结合自身基础设施建设特点及业务发展需求，积极跟踪、试点和推广应用新技术、新产品，提高资源使用效率，快速响应业务发展对系统资源的需求，提升基础设施服务保障能力。积极推进新技术在开发、测试环境的试点，充分分析新技术蕴含的风险因素、有效评估新技术带来的综合收益，有计划、有步骤地推广应用。积极与国内相关科研机构及IT企业联合攻关，打造具有自主知识产权的基础设施平台；逐步提高国产软硬件产品应用比例，有效提高金融信息安全防范能力，逐步摆脱核心技术受制于人的被动局面。

积极推进虚拟化化技术在基础设施领域应用。深入研究服务器虚拟化、存储虚拟化、应用虚拟化、网络虚拟化等虚拟化技术应用，实现各类物理资源逻辑化，建立可动态管理的“资源池”，提高设备资源利用率，简化系统管理。逐步整合数据中心内部资源，分类划分各应用系统功能，为不同的业务应用提供针对性的虚拟化资源，提高各类基础设施资源利用率，增加资源调配的动态灵活性。

加强云计算技术在提升基础设施服务能力方面的研究。积极探索云计算、云存储等新技术在银行业务、应用模式、应用场景、安全性和可靠性方面的研究与应用，充分分析云计算安全风险，积极探索利用云计算技术，降低信息科技建设和运维成本。

研究物联网发展对业务运营与管理模式产生的影响。探索物联网在快速识别客户、了解客户需求、为客户制定专项化服务等方面的应用，提升客户体验；探索利用物联网对固定资产进行全流程管理。

第六章 加强信息科技风险管理，完善研发运维体系

“十二五”时期，大中型银行要把加强信息科技风险管理作为一项重要任务，培育信息科技风险管理文化，优化组织架构，制定信息科技风险管理战略、政策、制度、流程、方法，提高组合风险管理水平，将信息科技风险管理纳入到全面风险管理体系中；把风险管控贯穿于信息系统生命周期，建立起信息科技风险管控的日常化、流程化、持续化机制。

第一节 建立全面的信息科技风险管理体系与长效管理机制

─ 构建全面的信息科技风险管理体系。构建全面的信息科技风险管理体系，根据风险战略与信息科技战略规划，制定信息科技风险管理战略、政策；进一步完善信息科技风险管理组织架构，完善决策流程，推进董事会和高级管理层履职评价；推动将信息科技风险管理纳入全面风险管理框架，探索信息科技风险与其他各类风险组合管理。建立信息科技风险识别、计量、监测和控制流程，涵盖信息系统生命周期各个环节。建立信息科技风险监测指标体系，明确关键风险指标，建立常态化的信息科技风险监测、预警与处臵机制，开展日常评估、检查和审计等工作，全面识别风险，及时制定和实施控制措施，建立评估控制有效性的程序。建立清晰的信息科技风险报告机制，定义报告内容、频率、对象及路线，董事会、高级管理层、信息科技部门、风险管理部门以及审计等各相关部门应及时掌握风险状况与趋势。建立信息科技风险信息采集、评估与监控管理平台，建立自动化管理流程。积极探索信息科技风险损失计量方法和计量标准，逐步建立信息科技风险损失数据库，收集信息科技风险损失数据，直观计量信息科技风险损失，实施信息科技风险定量分析及趋势分析，支持信息科技风险管理决策。

─ 加强协作，提升信息科技风险管理协同效应。加强与国家相关部门和机构协作，建立信息科技风险协防机制，提高主动防御能力。加强同立法机构、公安机关、电信、电力、交通、消防等部门协作，保障数据中心等重要基础运营环境安全，促进电子交易法律保障体系

建设，打击电子交易违法行为和金融网络犯罪；建立跨行业、跨机构、跨区域的应急协调机制，积极应对各类突发事件，保障业务经营活动持续性。

第二节 加强信息安全管理，全面提升信息安全保障能力

─ 夯实信息安全基础，推进信息资产分类分级管理。深入开展等级保护，建立重要系统安全防护体系和技术管理体系，建立主动防御机制。逐步推进信息资产识别和分类、分级工作，建立信息资产分级标准、规范，明确安全策略和保护要求。落实管理责任，统筹推进信息安全管理工作，确保信息安全管理范围的全面覆盖。加强敏感信息保护，防止信息资产违规泄露，加强向外部提供信息的统一管理，严格审核，归口发布。综合运用技术和管理手段，加强终端设备的安全管理。

--强化系统建设各环节的安全管控，加强安全质量管理。建立和完善信息系统生命周期安全管理机制，加强信息安全管理制度体系建设，覆盖信息安全方针、策略、管理要求、操作流程、应急计划和联动机制。加强信息系统建设全过程安全管理，制定信息安全规划，建立信息安全架构，统一部署信息安全功能，提高安全措施效率。加强需求与设计阶段安全功能需求分析与设计，抓好安全测试工作并贯穿系统研发过程，检测安全漏洞，评估安全需求的符合性。加强上线前安全评估，评价系统安全性以及对整体安全保障体系影响。加强系统运行安全评审，及时发现并处臵安全隐患。

─ 优化信息安全技术防控手段，实现纵深防御。优化信息安全技术防御体系，在物理安全、网络安全、系统安全、应用安全、数据安全、操作安全等不同层面，完善身份认证、访问控制、资源管理、日志分析、操作审计等安全功能，主动应对安全威胁，重点防范外部攻击，提升信息安全保障体系的健壮性和有效性。强化基础设施安全保障，深化应用系统安全建设，增强应用产品安全性。建立用户认证和访问控制管理流程，加强数据访问权限管理，有效保护信息资产。

─ 建立信息安全保障能力评价机制，保障信息安全管理有效性。建立信息安全保障体系评价机制，建立量化指标，及时开展评估、审计，建立持续改进机制，保障信息安全管理的持续性、有效性。

第三节 强化研发体系建设，掌握信息科技核心能力

─ 加强软件研发生命周期管理。加强需求管理，建立内部跨部门、跨产品线的需求统筹规划与整合管理机制，明确需求部门、开发部门等各相关部门职责；探索模型化需求分析方法，加强需求分析的标准化、规范化；加强需求分析和需求评审管理，保障业务需求与战略规划的一致性。建立非功能性需求管理流程，制定非功能性需求管理规范。

加强开发管理，加强开发模型的研究与运用；完善计划变更、需求变更、设计变更等管理流程，完善授权、审批机制，明确管理职责。

加强测试管理，明确测试管理部门职责，完善测试管理制度与流程；产品开发和测试管理职能部门应统筹做好系统测试、集成测试、

性能测试、容量测试、压力测试等测试工作；加强测试方法、测试工具的研究和运用，提高测试自动化程度，提高测试效率和测试质量。

健全版本管理制度、流程，加强项目群的版本依赖管理，加强软件版本测试。建立软件产品后评估机制，加强产品成本效益分析，强化成本意识，促进软件产品投入产出水平的持续提升。建立研发技术标准框架，制定覆盖主机、开放平台、系统工具软件等方面使用、设计和编码等研发技术标准，加强标准在研发过程中的推广使用力度，持续提高研发管理标准化、规范化程度。

─ 提高软件质量保证与项目管理水平。借鉴国际标准与实践，建立软件产品质量保证体系，制定质量管理标准，加强过程控制，探索模型与量化方法，提高全面质量管理能力。加强项目管理，完善项目管理组织架构、管理制度和管理流程；加强项目验收和后评估管理力度，强化管理职责，完善管理制度、流程，促进提高资源使用效能。加强流程管理，逐步建立统一的自动化管理平台。探索项目规模评估方法，逐步开展项目规模评估；加强绩效考核，不断提高项目管理精细化水平。

─ 加强自主创新。紧随信息科技发展步伐、紧跟银行业体制改革方向、紧盯金融市场发展趋势，拓宽国际化视野，加强基础性研究，鼓励和支持自主创新，有效提高研发能力。探索研发模式创新、管理机制创新，推进产学研一体化的发展模式创新。加大基础性研发投入，加强专业队伍建设。跟踪新兴技术发展趋势，积极探索新兴技术在金融创新中的应用。倡导在系统研发生命周期各管理环节建立自主创新

工作机制，着力在新技术研究、需求分析、方案设计和软件产品后评估环节加大对自主创新的支持力度。建立激励机制，加强创新成果应用，加强知识产权保护。

第四节 强化运维体系建设，提升系统服务水平

─ 加强运维流程管理。进一步完善运维管理流程，健全运维管理制度和标准，重点加强事件管理、问题管理、变更管理、配臵管理等关键管理流程和数据管理、机房管理等制度标准建设与执行力。加强管理流程整合，完善信息交互机制，形成闭环管理。强化事件分级制度，建立有效的事件升级及响应机制；加强事件后续分析与处理，不断优化管理流程；建立变更分类标准和变更分级审批流程，完善变更窗口管理制度，有效降低变更对生产运行的负面影响；制定配臵参数移植、修改、备份、存储、更新、销毁等方面的管理制度，控制配臵操作引发的风险。完善数据存储、使用、传输以及备份管理，进一步制定标准、规范，重点强化客户信息和经营分析数据等敏感数据访问控制、清理、销毁以及数据变形使用管理；进一步加强机房人员、供电、空调、防火管理。

─ 加大集中监控及一体化管理力度。健全生产系统软硬件、网络及应用系统性能监测指标体系，优化监控策略；在实现对系统、设备、网络、基础环境等监控基础上，重点加强对核心应用系统和电子银行渠道监控；构建统一监控平台，统一管理和展现各种监控资源，实现集中告警方式，全面、及时掌握系统整体运行状态，快速定位故障、

缩短处理时间；加大对总分行监控系统整合力度，提高总行对分行生产系统监管能力，进一步完善监控、响应、处理、报告、反馈和跟踪机制，实现全行范围基础设施和主要应用系统生产运行情况的全面监控，提高运行管理的全面控制能力。提高运维管理自动化水平，整合操作、维护、监控、响应、处理等管理流程，推进企业级总控中心（ECC）建设，促进运维管理一体化。

─ 健全运维绩效考核评价机制。建立管理流程评价模型和量化标准，推进员工岗位绩效考核，制定系统运行关键绩效指标，建立生产运行绩效考核指标库；以系统可用率为基础指标，制定应用服务目录，建立生产运行量化绩效考核评价体系，推动提高运维服务水平。

第五节 建立业务连续性管理体系，保障金融服务持续稳定

─ 构建业务连续性管理框架，为业务持续运营奠定基础。将业务连续性管理纳入银行全面风险管理范畴，建立业务连续性管理组织架构，明确董事会、高级管理层、风险管理部门、业务部门、信息科技部门以及后勤保障等各部门职责，统筹推进业务连续性管理工作。明确业务连续性管理体系建设策略、管理流程、阶段性目标与实施路径，探索建立业务连续性全生命周期管理机制，将业务连续性管理嵌入到业务流程中；根据风险战略、政策，遵循“风险可控、成本可算”原则，制定业务分类分级保护策略，与业务活动的性质、规模和复杂度相适应；探索要素分析模型，深入开展业务影响分析，科学确定关键业务恢复次序与恢复时间要求，明确业务恢复目标；制定恢复策略与

业务持续性计划，开展业务持续性管理有效性评估；建立动态的恢复指标管理制度，明确恢复指标归属管理部门，定期评估恢复指标的有效性。优化资源分配，制定容量规划，建立通道管理机制，提高运营支持响应能力。加大培训力度，加强文化建设，提高全员危机意识、风险意识。

─ 加强应急处臵，提高协作能力。建立健全应对突发事件的预警、报告、决策、指挥、响应及退出等环节的应急处臵机制。制定监测指标，实时监测业务运行状态，及时发现异常情况，及时预警；建立清晰的报告流程，明确报告路线；建立应急指挥、决策体系，统筹协调，高效决策，保证指挥流程畅通；制定应急处臵响应流程，加强关键岗位人员配臵。

建立应急预案一体化管理体系，建立涵盖总体预案、专项预案等预案框架；统筹预案管理，加强预案之间的衔接与配套；建立有效的预案维护机制，涵盖预案制定、评审、发布、变更和回收过程；制定预案编制规范，保证预案编制质量；强化预案后评价与持续改进机制，保证预案有效性。

推进与政府机构、公共事业机构、金融同业机构、银行服务机构等外部机构的应急协作机制，促进信息共享，加强战略合作，推进协调联动。

─ 完善灾备体系，提高灾难恢复能力。根据风险战略与业务连续性目标，制定灾难备份体系建设策略与实施路线；以业务有效恢复为目标，逐步加强灾备体系建设；逐步加大数据、系统、基础设施等各

类资源的保护范围以及恢复能力；逐步推进分支机构灾难备份建设，提高电子银行渠道灾难恢复能力，推进外联交易、支付、清算等重要渠道灾难备份建设。

探索灾难备份体系建设模式，加强架构设计，应用技术创新，加强数据中心集约化、标准化、流程化管理；深入研究数据中心“双活”、“多活”建设模式，提高数据中心之间相互备份、切换和接管能力。

─ 加强应急演练力度，保证应急灾备体系的有效性。加强应急演练，加大演练频度、扩大演练覆盖范围，采取计划性、非计划性等多种演练形式，有效验证应急响应及灾难恢复流程、决策机制、指挥体系、报告渠道、资源保障效果与能力，通过演练提高认知、完善技能。逐步推进以真实业务接管为目标的实战演练，逐步加大实战演练频度，全面提高应对重大突发事件能力。推进跨地域、跨机构、跨行业应急演练，加强合作、相互支持、共享经验，促进行业以致社会整体应急管理水平的提高。

第六节 建立健全信息科技外包管理机制，防范外包风险

─ 确立信息科技外包策略。随着信息科技外包快速发展，在大中型银行国际化、集团化发展趋势下，新的外包风险特征不断呈现，要重点加强外包战略管理，加强风险控制，适应外包发展趋势。要制定明确的信息科技外包战略与实施策略；坚持“风险可控、成本可算”原则，加强外包决策，审慎确定外包范围，防止过度外包；以提升核

心竞争力为目标，加强知识转移，控制关键技术，提高技术创新能力、自主研发能力与管理服务能力。

─ 建立信息科技外包管理体系。建立信息科技外包管理组织架构，建立管理制度、流程与风险控制机制。建立外包立项、供应商选择、合同谈判与签署、日常管理和评价验收管理，以及退出和应急管理程序。加强外包服务商资质管理、建立名单制度，审慎选择外包服务商；加强外包合同管理与外包服务活动安全管理，明确服务水平要求，重点保护信息安全；加强外包变更管理，制定外包服务应急计划；探索建立外包服务保险机制；加强日常监督管理，建立外包服务考核、评价机制。加强集团内部外包风险管理，建立有效的防火墙制度；加强离岸外包风险管理，加强国别风险监测、评估。逐步建立外包服务商资质与服务标准，推进行业外包风险评估机制，防范外包服务商过度集中风险。

第七章 加大应用体系建设力度，提升经营管理能力与客

户服务水平

“十二五”期间，大中型银行核心应用系统建设要以提升银行核心竞争力为目标，基于业务发展战略，注重顶层设计，加大科技创新力度，在客户服务、信息管理、产品创新、渠道拓展、风险防范、持续运营等方面大幅度提升应用水平与管理能力。

第一节 推进核心应用系统建设，打造高效灵活的业务运营平台

─ 建设稳定的基础平台，支持应用系统高效运行。以业务架构为基础，构建灵活、高效、稳定的应用架构。运用层次化、构件化方法整合应用系统，推动建立高内聚、松耦合的应用架构体系，快速响应市场需求。参照前端渠道服务层、服务和交易处理层、后端风险管理及分析决策层的银行核心应用系统分层模式，以服务和交易处理层为中心，通过自助式电子银行、协助式柜面以及外联合作方等前端渠道服务层为客户提供交易和产品服务，向风险管理、决策管理、内部管理等后端风险管理及分析决策层提供基础业务数据。在应用系统架构建设与整合过程中，应注重各应用层以及应用模块的独立性和专业化服务能力，充分考虑业务需求和非功能性需求，有效控制应用系统复杂度。

构建企业服务总线，提高资源重用能力，实现动态、灵活的应用集成，加强多渠道服务整合，提高客户体验的一致性，构建可重用、快速满足市场需求的服务平台。建立统一的整合机制，支持将不同应用或组件提供的功能进行组合以实现新的业务功能；在开放、灵活和安全的基础架构上，提供端到端的跨产品、跨渠道、跨平台的统一解决方案；建立多渠道、多产品统一的客户体验，实现客户信息和产品资源在不同渠道共享，提高各类渠道交叉销售与协同服务功能。

─ 实施产品化开发，提升客户服务能力。在保持传统业务领域产品的稳定和发展基础上，提高产品设计能力和差别化服务能力，在“成

本可算、风险可控、信息充分披露”前提下，推进具有核心竞争力的金融产品创新，满足多元化市场需求。

以客户为中心、市场为导向，提高市场需求与客户需求分析水平。实现产品化开发，提炼产品属性并进行集中管理和组合配臵，实现产品属性对产品生成、发布、销售、使用的关联控制，支持产品差异化定价。支持客户产品功能的个性化定制，满足客户多元化、个性化需求。构建以市场为导向、统一规范的产品管理平台，实现产品目录自动生成和统一维护，推进全行范围产品生命周期管理。

建立、健全企业级客户信息系统，统一客户视图，支持差异化客户营销。实现基本客户信息数据统一管理、信息共享；以单一、完整、全景视图展现客户信息，唯一识别客户。实现客户群体分类，支持业务部门快捷、方便地获得更准确、更完整的客户信息数据，实现差异化营销。扩大分析型客户关系管理覆盖业务范围，加强与操作型客户关系管理系统的有机整合与数据双向交互，推进事件式营销功能建设，共同组成集营销创意、分析、实施、后评估等功能于一体的客户关系管理系统。

完善支付结算处理。加强与现代化支付系统对接的配套系统建设，提高国内跨行支付结算效率。研究建立统一的支付平台，集成行内支付、境内跨行支付、境外汇款及其清算处理，统一管理行内、跨行支付，为支付业务提供高效的清算服务。

完善票据系统处理功能，推动票据电子化发展。持续优化票据系统业务流程，支持和推动票据影像和电子票据业务的发展，提高资金支付的效率和安全性，不断扩大电子票据业务品种。

─ 支持网点服务转型，加强外联系统建设与整合。提高网点营销和服务能力，提升网点效能，实现客户分流、客户识别、客户等待超时、高端客户机会营销监控等功能，推进业务后台集中化处理，加快网点由交易型、操作型向服务型、营销型的职能转变。加快柜面业务向电子银行渠道转移，优化自助设备操作流程、提高响应效率，加大自助设备配臵，分流柜面压力。注重营业网点与自助设备、电子渠道的整合互动，创新网点业务运营模式，提高网点服务质量和营销效率。在业务集中化运营基础上，充分运用现代通讯技术，创新与客户互动模式，提升客户体验；加强对业务处理状态的远程监控、远程授权研究，加强网点现场监控与远程监控的整合，推进物理监控与前中后台业务管理有机结合。

加强与证券、保险以及其它外部机构信息互联互通，推进外联渠道服务的接入整合，提高网络等资源利用率，倡导与外联机构采用总对总对接方式，逐步减少分支机构外联节点；研究建立数据交换标准，规范银行外联金融业务信息交换，提高外联接口稳定性。加强与监管部门信息系统的互联互通，实现监管数据完整、及时、高效、安全报送。

─ 支持流程银行建设，提高业务运营效率。加快推进从“部门银行”向“流程银行”转变，结合自身发展战略，形成清晰的业务管理

条线，统一规划流程银行业务架构，逐步完善业务流程模型；优化组织架构，按照以客户为中心的理念，系统改造和优化业务流程和管理环节，提高业务运营效率，促进业务流程的标准化、规范化，控制操作风险与合规性风险。构建支持流程银行基础设施，建立公共信息标准，建立统一的应用架构与服务平台、服务总线和工作流引擎，建立统一的运营管理平台。建立和完善电子影像、验印等底层支持系统，健全系统功能、提高系统稳定性。建立全行或区域内集中作业处理平台，持续完善数据中心与后台运营中心建设，梳理、组装业务活动，实现集中的流程化营运，提高信息实时性，统一风险管理，促进前中后台分离。构建差异化客户服务流程，在保证稳定性和性能的前提下，兼顾不同区域、不同条件下多种流程要求，支持在不同场景下采用不同业务流程、不同界面、不同处理模式的需求，提高对业务变化的适应能力。

─ 提升综合服务能力，适应银行战略发展要求。推进国际化发展战略的大中型银行机构，应制定中长期发展战略规划，抓住国家加快实施“走出去”战略机遇，以全球视野和创新思维推动国际化发展，努力构建国际先进、服务全球的核心应用系统，支持境内外实体、多语言环境、多时区服务，适应多监管体系、不同会计准则要求，满足多币种、多国情、多操作习惯的要求，支持人民币国际化，完善全球金融服务平台。建立境内外统一的客户数据模型与数据标准，支持客户信息共享与业务联动；提供全面、高效的数据服务，满足各地区监管数据加工、报送的内容要求和时效要求。加大境外机构电子渠道、

自助渠道和物理网点的延伸支持，健全境外机构经营网络。制定清晰的战略规划，保障并购、收购银行核心应用系统的顺利整合，支持与各类混业经营业务应用系统的对接。

支持业务创新。核心应用系统建设要能够适应组织架构和业务流程变化，快速响应市场需求，支持渠道服务多元化和业务创新，支持外汇、远期结售汇、人民币掉期、利率市场化、人民币国际化等国内新业务领域创新。构建外汇资金一日多价交易平台，提高应对市场汇率波动带来的套汇等风险的能力。

支持综合经营与集团化发展。要完善风险管理和内部控制，建立防火墙，根据自身管理能力和经营业务复杂程度，积极稳妥推进综合经营试点，增强跨市场盈利能力。探索建立面向集团的信息科技体系架构，充分运用核心应用系统网络、渠道及服务资源，建立一体化产品营销和服务架构，开发跨市场、复合性的金融产品，满足客户“一站式”金融服务需求。在保障客户信息安全与合规管理前提下，探索建立集团统一客户视图，实现集团内客户信息共享、关联管理，实现客户统一评价和统一授信。逐步建立一体化的决策支持与管理经营分析系统，实现集团层面的经营分析和决策支持。逐步建设境外区域业务处理平台，推进境外业务中后台集约运营，提升境外机构业务拓展和客户服务能力。探索建立境外机构分控中心，提高境外机构集中监控、支持保障和统一生产调度管理能力。

第二节 加强内部管理系统建设，提高精细化管理水平

加强内部管理系统建设，推进管理流程优化，深化信息资源运用，提高经营决策管理水平。

─ 加大资金管理系统建设力度，提升清算资金管理水平。逐步构建清算资金管控平台，提高资金管控能力。对本外币的清算资金进行统一管理和监控，全面获取资金清算信息，构建有效的清算资金预测模型，建立高效、智能的资金调拨策略和机制，对大额资金实行系统硬性控制，提高清算资金使用效率。逐步建立和完善行内资金转移定价机制，推动资金内部转移自动定价，统一管理全行本外币资金，提高资金使用效率。

─ 推进内部管理系统建设，提升银行内部管理水平。完善内部资源管理系统建设，建立和完善覆盖境内外各级机构和从业人员的人力资源、财务费用、资产管理系统，支持多维度的财务资源投入产出分析及后评价体系，实现全行内部资源统一调配，支持规范、透明、精细化的流程管理，提高资源运用效率，提高财务风险控制能力，满足信息披露要求。充分考虑与国际接轨以及未来发展需要，提供灵活的会计科目体系和多币种、多会计准则、多会计主体以及并表支持。逐步实现预算及年终决算等功能与其他功能之间的松耦合，提高核心应用系统业务处理能力。

完善管理会计系统建设，加强管理决策支持。集成绩效考核理念、方法，实现对全行基础业绩指标的统一制定、发布和变更，建立机构、产品、员工等多个维度的业绩分成与还原机制，实现系统功能与管理

应用的良性互动。加强对财务核算精细化管理的支持，推动系统深入应用，为银行成本分摊、资源和资本计划制订奠定基础。

─ 优化报表系统建设，提升经营决策水平。建立架构统一的报表系统，实现指标的统一管理，优化报表定制功能，优化报表引擎，提升图表展现效果，提高数据分析与展现能力，支持报表综合查询与分析，提高经营分析与决策水平，满足外部监管与信息披露要求。

--推进并表管理信息系统建设，提高集团层面风险管控能力。积极推进银行集团财务、资本以及风险的并表管理，将附属机构并表风险管理纳入全行风险管理体系；识别集团层面大额风险暴露和关联交易，提高风险管控能力；推进附属机构数据采集渠道建设，加强附属机构数据归集和数据质量管理，推进并表管理自动化水平。

第八章 加强风险管理基础设施建设，提升风险管理水平

“十二五”期间，大中型银行要根据新监管标准，按照“《新资本协议》与《第三版巴塞尔协议》同步推进，第一支柱与第二支柱统筹考虑”的总体要求，构建全面风险管理框架。要提高风险数据质量，建立全面、高效的风险数据管理环境。完善风险管理信息系统架构，建设统一的风险管理信息系统。加强风险管理信息应用，及时汇总集团层面并表风险敞口和流动性头寸，提高风险管理与资本配臵效率，进一步强化资本与风险管理挂钩。

第一节 完善信用风险管理系统建设

规范模型开发验证流程，提升模型的准确性。优化零售、非零售内部评级模型，实现内部评级模型持续验证和优化，保障模型准确性和稳定性。建立内部评级的审计、监控体系，防范模型风险。

完善内部评级体系，加强风险计量成果应用。实现对客户、债项的二维评级，支持新资本协议风险参数及监管资本、经济资本计算，满足信息披露要求。加强信用风险管理与信贷业务融合，实现统一额度管理，实现对关联公司风险预警，充分利用内评法计量结果，完善行业、区域信贷政策，促进零售贷款审批自动化。根据风险特征与级别实施针对性营销和差异化催收策略。支持集中押品管理，体现动态押品管理流程，为违约损失率（LGD）计量、风险拨备、信息披露提供更精确的风险缓释数据。实施动态拨备制度，应对经济周期的波动风险。

建设组合管理系统，支持资产组合管理。充分考虑行业、地区、资产之间的相关性，建立信贷组合管理体系；开发、建立组合管理的工具、模型和方法，实现定量与定性相结合的主动组合管理；建立组合管理的缓释手段与工具，控制与缓释组合集中度风险。建立单一客户、集团客户、产品、行业、区域以及抵质押品的多维度集中度管理和监控体系；配合组合管理系统，降低集中度风险；为客户名单制度及行业、区域信贷政策以及抵质押品管理制度提供系统支持。