求的基础设施资源配臵计划。并根据业务、技术和基础设施发展情况,适时调整资源配臵计划。
加强资源配臵方案论证和评估,规范资源配臵流程。加强对资源配臵需求方案的论证和评估,综合考虑业务类别、级别、规模、发展趋势和运营模式等因素,按照基础设施资源配臵计划,确定系统软硬件、存储和网络等各方面基础设施资源配臵要求,有序组织各项资源配臵实施,实现基础设施资源集中配臵和统一管理。
推进基础设施服务水平的量化管理。建立系统的、可操作的基础设施服务评价指标,包括基础设施配臵对业务应用需求满足程度、基础设施提供服务的可用性、基础设施资源变更的有效性、基础设施资源成本的可控性等。
第三节 加强技术应用,提高基础设施可持续发展能力
─ 践行绿色节能社会责任,提高基础设施可持续发展能力。推进基础设施使用方式的转型,落实弹性基础架构建设,实现对基础设施资源集约高效利用。积极采取合适的绿色节能技术,履行节能降耗社会责任。
加强基础设施冷却系统和供电系统规划设计。根据数据中心所在区域的自然环境状况,探索液体冷却、自然风冷、精确制冷、变频制冷和热能回收等制冷节能技术应用,提升数据中心制冷能效比。选择电力传输和转换效率高的设备设施,采用适宜的智能电力调度系统以实现供电系统的高可用、智能调度和节能减排。重点关注建筑群体能
耗、服务器能耗、空调能耗、UPS能耗,实现日常运行过程中对重点能耗的监测与统计,提高基础设施节能水平,降低基础设施运行成本。
加强基础设施整体规划,通过高效率、高密度、虚拟化设备集群实现节能降耗。推进闲臵设备与能效比低的老旧设备替换,推广应用节能、高效率设备,降低数据中心部署设备的整体能耗;提高机架单元的功率密度,通过虚拟化等技术提高设备负载运行的能耗效率。采用能耗管理工具提高电力和冷却系统设备承载量;加强各类系统设备能耗监控装臵配备。
积极跟踪、试点先进节能降耗技术,持续有效的推进节能工作。积极试点可再生能源利用;结合基础设施所在地域特点,采用先进的建筑节能措施,改造现有基础设施环境;探索回收节能、交换节能、自适应节能等技术应用。
─ 加强新技术在基础设施领域的应用,提升基础设施服务保障能力。在风险可控前提下,结合自身基础设施建设特点及业务发展需求,积极跟踪、试点和推广应用新技术、新产品,提高资源使用效率,快速响应业务发展对系统资源的需求,提升基础设施服务保障能力。积极推进新技术在开发、测试环境的试点,充分分析新技术蕴含的风险因素、有效评估新技术带来的综合收益,有计划、有步骤地推广应用。积极与国内相关科研机构及IT企业联合攻关,打造具有自主知识产权的基础设施平台;逐步提高国产软硬件产品应用比例,有效提高金融信息安全防范能力,逐步摆脱核心技术受制于人的被动局面。
积极推进虚拟化化技术在基础设施领域应用。深入研究服务器虚拟化、存储虚拟化、应用虚拟化、网络虚拟化等虚拟化技术应用,实现各类物理资源逻辑化,建立可动态管理的“资源池”,提高设备资源利用率,简化系统管理。逐步整合数据中心内部资源,分类划分各应用系统功能,为不同的业务应用提供针对性的虚拟化资源,提高各类基础设施资源利用率,增加资源调配的动态灵活性。
加强云计算技术在提升基础设施服务能力方面的研究。积极探索云计算、云存储等新技术在银行业务、应用模式、应用场景、安全性和可靠性方面的研究与应用,充分分析云计算安全风险,积极探索利用云计算技术,降低信息科技建设和运维成本。
研究物联网发展对业务运营与管理模式产生的影响。探索物联网在快速识别客户、了解客户需求、为客户制定专项化服务等方面的应用,提升客户体验;探索利用物联网对固定资产进行全流程管理。
第六章 加强信息科技风险管理,完善研发运维体系
“十二五”时期,大中型银行要把加强信息科技风险管理作为一项重要任务,培育信息科技风险管理文化,优化组织架构,制定信息科技风险管理战略、政策、制度、流程、方法,提高组合风险管理水平,将信息科技风险管理纳入到全面风险管理体系中;把风险管控贯穿于信息系统生命周期,建立起信息科技风险管控的日常化、流程化、持续化机制。
第一节 建立全面的信息科技风险管理体系与长效管理机制
─ 构建全面的信息科技风险管理体系。构建全面的信息科技风险管理体系,根据风险战略与信息科技战略规划,制定信息科技风险管理战略、政策;进一步完善信息科技风险管理组织架构,完善决策流程,推进董事会和高级管理层履职评价;推动将信息科技风险管理纳入全面风险管理框架,探索信息科技风险与其他各类风险组合管理。建立信息科技风险识别、计量、监测和控制流程,涵盖信息系统生命周期各个环节。建立信息科技风险监测指标体系,明确关键风险指标,建立常态化的信息科技风险监测、预警与处臵机制,开展日常评估、检查和审计等工作,全面识别风险,及时制定和实施控制措施,建立评估控制有效性的程序。建立清晰的信息科技风险报告机制,定义报告内容、频率、对象及路线,董事会、高级管理层、信息科技部门、风险管理部门以及审计等各相关部门应及时掌握风险状况与趋势。建立信息科技风险信息采集、评估与监控管理平台,建立自动化管理流程。积极探索信息科技风险损失计量方法和计量标准,逐步建立信息科技风险损失数据库,收集信息科技风险损失数据,直观计量信息科技风险损失,实施信息科技风险定量分析及趋势分析,支持信息科技风险管理决策。
─ 加强协作,提升信息科技风险管理协同效应。加强与国家相关部门和机构协作,建立信息科技风险协防机制,提高主动防御能力。加强同立法机构、公安机关、电信、电力、交通、消防等部门协作,保障数据中心等重要基础运营环境安全,促进电子交易法律保障体系
建设,打击电子交易违法行为和金融网络犯罪;建立跨行业、跨机构、跨区域的应急协调机制,积极应对各类突发事件,保障业务经营活动持续性。
第二节 加强信息安全管理,全面提升信息安全保障能力
─ 夯实信息安全基础,推进信息资产分类分级管理。深入开展等级保护,建立重要系统安全防护体系和技术管理体系,建立主动防御机制。逐步推进信息资产识别和分类、分级工作,建立信息资产分级标准、规范,明确安全策略和保护要求。落实管理责任,统筹推进信息安全管理工作,确保信息安全管理范围的全面覆盖。加强敏感信息保护,防止信息资产违规泄露,加强向外部提供信息的统一管理,严格审核,归口发布。综合运用技术和管理手段,加强终端设备的安全管理。
--强化系统建设各环节的安全管控,加强安全质量管理。建立和完善信息系统生命周期安全管理机制,加强信息安全管理制度体系建设,覆盖信息安全方针、策略、管理要求、操作流程、应急计划和联动机制。加强信息系统建设全过程安全管理,制定信息安全规划,建立信息安全架构,统一部署信息安全功能,提高安全措施效率。加强需求与设计阶段安全功能需求分析与设计,抓好安全测试工作并贯穿系统研发过程,检测安全漏洞,评估安全需求的符合性。加强上线前安全评估,评价系统安全性以及对整体安全保障体系影响。加强系统运行安全评审,及时发现并处臵安全隐患。