─ 优化信息安全技术防控手段,实现纵深防御。优化信息安全技术防御体系,在物理安全、网络安全、系统安全、应用安全、数据安全、操作安全等不同层面,完善身份认证、访问控制、资源管理、日志分析、操作审计等安全功能,主动应对安全威胁,重点防范外部攻击,提升信息安全保障体系的健壮性和有效性。强化基础设施安全保障,深化应用系统安全建设,增强应用产品安全性。建立用户认证和访问控制管理流程,加强数据访问权限管理,有效保护信息资产。
─ 建立信息安全保障能力评价机制,保障信息安全管理有效性。建立信息安全保障体系评价机制,建立量化指标,及时开展评估、审计,建立持续改进机制,保障信息安全管理的持续性、有效性。
第三节 强化研发体系建设,掌握信息科技核心能力
─ 加强软件研发生命周期管理。加强需求管理,建立内部跨部门、跨产品线的需求统筹规划与整合管理机制,明确需求部门、开发部门等各相关部门职责;探索模型化需求分析方法,加强需求分析的标准化、规范化;加强需求分析和需求评审管理,保障业务需求与战略规划的一致性。建立非功能性需求管理流程,制定非功能性需求管理规范。
加强开发管理,加强开发模型的研究与运用;完善计划变更、需求变更、设计变更等管理流程,完善授权、审批机制,明确管理职责。
加强测试管理,明确测试管理部门职责,完善测试管理制度与流程;产品开发和测试管理职能部门应统筹做好系统测试、集成测试、
性能测试、容量测试、压力测试等测试工作;加强测试方法、测试工具的研究和运用,提高测试自动化程度,提高测试效率和测试质量。
健全版本管理制度、流程,加强项目群的版本依赖管理,加强软件版本测试。建立软件产品后评估机制,加强产品成本效益分析,强化成本意识,促进软件产品投入产出水平的持续提升。建立研发技术标准框架,制定覆盖主机、开放平台、系统工具软件等方面使用、设计和编码等研发技术标准,加强标准在研发过程中的推广使用力度,持续提高研发管理标准化、规范化程度。
─ 提高软件质量保证与项目管理水平。借鉴国际标准与实践,建立软件产品质量保证体系,制定质量管理标准,加强过程控制,探索模型与量化方法,提高全面质量管理能力。加强项目管理,完善项目管理组织架构、管理制度和管理流程;加强项目验收和后评估管理力度,强化管理职责,完善管理制度、流程,促进提高资源使用效能。加强流程管理,逐步建立统一的自动化管理平台。探索项目规模评估方法,逐步开展项目规模评估;加强绩效考核,不断提高项目管理精细化水平。
─ 加强自主创新。紧随信息科技发展步伐、紧跟银行业体制改革方向、紧盯金融市场发展趋势,拓宽国际化视野,加强基础性研究,鼓励和支持自主创新,有效提高研发能力。探索研发模式创新、管理机制创新,推进产学研一体化的发展模式创新。加大基础性研发投入,加强专业队伍建设。跟踪新兴技术发展趋势,积极探索新兴技术在金融创新中的应用。倡导在系统研发生命周期各管理环节建立自主创新
工作机制,着力在新技术研究、需求分析、方案设计和软件产品后评估环节加大对自主创新的支持力度。建立激励机制,加强创新成果应用,加强知识产权保护。
第四节 强化运维体系建设,提升系统服务水平
─ 加强运维流程管理。进一步完善运维管理流程,健全运维管理制度和标准,重点加强事件管理、问题管理、变更管理、配臵管理等关键管理流程和数据管理、机房管理等制度标准建设与执行力。加强管理流程整合,完善信息交互机制,形成闭环管理。强化事件分级制度,建立有效的事件升级及响应机制;加强事件后续分析与处理,不断优化管理流程;建立变更分类标准和变更分级审批流程,完善变更窗口管理制度,有效降低变更对生产运行的负面影响;制定配臵参数移植、修改、备份、存储、更新、销毁等方面的管理制度,控制配臵操作引发的风险。完善数据存储、使用、传输以及备份管理,进一步制定标准、规范,重点强化客户信息和经营分析数据等敏感数据访问控制、清理、销毁以及数据变形使用管理;进一步加强机房人员、供电、空调、防火管理。
─ 加大集中监控及一体化管理力度。健全生产系统软硬件、网络及应用系统性能监测指标体系,优化监控策略;在实现对系统、设备、网络、基础环境等监控基础上,重点加强对核心应用系统和电子银行渠道监控;构建统一监控平台,统一管理和展现各种监控资源,实现集中告警方式,全面、及时掌握系统整体运行状态,快速定位故障、
缩短处理时间;加大对总分行监控系统整合力度,提高总行对分行生产系统监管能力,进一步完善监控、响应、处理、报告、反馈和跟踪机制,实现全行范围基础设施和主要应用系统生产运行情况的全面监控,提高运行管理的全面控制能力。提高运维管理自动化水平,整合操作、维护、监控、响应、处理等管理流程,推进企业级总控中心(ECC)建设,促进运维管理一体化。
─ 健全运维绩效考核评价机制。建立管理流程评价模型和量化标准,推进员工岗位绩效考核,制定系统运行关键绩效指标,建立生产运行绩效考核指标库;以系统可用率为基础指标,制定应用服务目录,建立生产运行量化绩效考核评价体系,推动提高运维服务水平。
第五节 建立业务连续性管理体系,保障金融服务持续稳定
─ 构建业务连续性管理框架,为业务持续运营奠定基础。将业务连续性管理纳入银行全面风险管理范畴,建立业务连续性管理组织架构,明确董事会、高级管理层、风险管理部门、业务部门、信息科技部门以及后勤保障等各部门职责,统筹推进业务连续性管理工作。明确业务连续性管理体系建设策略、管理流程、阶段性目标与实施路径,探索建立业务连续性全生命周期管理机制,将业务连续性管理嵌入到业务流程中;根据风险战略、政策,遵循“风险可控、成本可算”原则,制定业务分类分级保护策略,与业务活动的性质、规模和复杂度相适应;探索要素分析模型,深入开展业务影响分析,科学确定关键业务恢复次序与恢复时间要求,明确业务恢复目标;制定恢复策略与
业务持续性计划,开展业务持续性管理有效性评估;建立动态的恢复指标管理制度,明确恢复指标归属管理部门,定期评估恢复指标的有效性。优化资源分配,制定容量规划,建立通道管理机制,提高运营支持响应能力。加大培训力度,加强文化建设,提高全员危机意识、风险意识。
─ 加强应急处臵,提高协作能力。建立健全应对突发事件的预警、报告、决策、指挥、响应及退出等环节的应急处臵机制。制定监测指标,实时监测业务运行状态,及时发现异常情况,及时预警;建立清晰的报告流程,明确报告路线;建立应急指挥、决策体系,统筹协调,高效决策,保证指挥流程畅通;制定应急处臵响应流程,加强关键岗位人员配臵。
建立应急预案一体化管理体系,建立涵盖总体预案、专项预案等预案框架;统筹预案管理,加强预案之间的衔接与配套;建立有效的预案维护机制,涵盖预案制定、评审、发布、变更和回收过程;制定预案编制规范,保证预案编制质量;强化预案后评价与持续改进机制,保证预案有效性。
推进与政府机构、公共事业机构、金融同业机构、银行服务机构等外部机构的应急协作机制,促进信息共享,加强战略合作,推进协调联动。
─ 完善灾备体系,提高灾难恢复能力。根据风险战略与业务连续性目标,制定灾难备份体系建设策略与实施路线;以业务有效恢复为目标,逐步加强灾备体系建设;逐步加大数据、系统、基础设施等各