第一章  信息科技发展状况

“十一五”期间，大型商业银行和股份制商业银行（以下简称大中型银行）信息化建设取得了巨大进步，各银行机构围绕自身整体发展战略，推进信息科技规划与信息科技架构设计，开展应用系统与基础设施建设，逐步建立安全高效的信息系统运行平台，开发种类多样、功能丰富的产品体系，为加快业务发展、加强内部管理和推进全面风险管理提供了有力支持，信息科技已成为银行核心竞争力的重要组成。同时，信息科技治理机制逐步建立，组织体系进一步健全，信息科技队伍结构与人员素质得到优化和提高，信息科技管理水平得到有效提升。

─ 信息科技战略规划与架构管理能力明显提高，信息化建设有序推进。对信息科技战略规划重视程度不断提高，逐步建立信息科技战略蓝图，明确规划的具体实施路线，规划方法趋向科学；部分银行机构设置专门的规划管理机构负责蓝图设计并督导实施。重视信息科技架构优化，开展基础架构、应用架构、数据架构规划，推进架构评审管控机制，制定架构管控策略和程序，推动架构规划的贯彻落实。

─ 信息科技治理体系逐步建立，为信息科技可持续发展奠定基础。探索信息科技治理模式，确立信息科技战略定位，提升信息科技服务价值。完善决策体系，明确董事会、高级管理层、信息科技部门以及相关业务部门职责；设立信息科技专业委员会，推进首席信息官制度；优化信息科技组织架构与岗位设置，加强内控建设，推进专业化、流程化管理。提高人力资源规划与管理水平，推进素质能力模型应用和员工职业发展。建立信息科技制度管理体系，推进制度持续性建设。提高成本意识，推进信息科技成本管理。

─ 基础设施建设持续加强，信息科技服务能力不断提高。基本完成基础架构建设，加大投入巩固基础设施建设，重点保障核心账务以及关键业务、关键渠道类系统的资源需求。初步建立基础设施相关标准和规范，提升基础设施资源的管理水平和使用效率；实施基础设施资源整合和扩容，提升基础设施对业务运行的承载能力；积极引入新技术，提高资源利用率，推动信息科技资源集约化管理。

在提高基础设施使用效率的同时，深入排查运营风险隐患，积极采用设备冗余、集群等多种手段提升系统高可用性，持续提升信息科技服务能力。开展机房达标工程，提升数据中心机房建设标准，改造机房环境；加强网络规划，做到高可用性与高可靠性并重，为业务发展提供安全的基础保障环境。

─ 信息安全技术保障体系初步建立，信息科技风险管理水平不断提升。初步建立信息安全制度规范和技术标准，强化信息安全风险评估和持续改进机制。初步建立等级化的信息系统安全技术保障体系，积极运用先进、成熟的安全技术和产品，加强信息系统生命周期安全管理。采取有效措施防范信息安全风险，运用加密技术和安全产品，规范和加强身份认证、授权管理、责任认定等，建设网络信任体系，确保交易防抵赖。电子银行分层次、差异化的安全认证方式和服务体系基本建立。广泛采用数字证书和动态口令等手段实现用户身份鉴别，数字证书载体由文件、智能卡发展到USBkey，语音识别技术在电话银行中得到应用，部分银行机构在ATM机中开始运用指纹识别和视频技术。在信息保护方面，广泛运用防抵赖、抗攻击和加密技术保护系统和信息安全，传统的电话银行和自助设备的安全性大为改善，进一步推动了服务范围的拓展。

研发、运维管理组织架构日趋完善，基本形成了规范化的研发体系和适应大规模数据集中处理的运维体系。积极开展灾备体系建设，强化突发事件应急管理，积极开展应急演练，加强与国家相关部门以及行业间的联防协作，有效提高了应急处理能力。

─ 应用系统建设初具规模，有力支持了业务发展。基本完成数据集中，形成全行“一本账”的账务核算体系，支持由“以账户为中心”向“以客户为中心”转变，基本实现本外币一体化、全功能柜员管理，整合业务功能和处理流程，推进会计记账集中处理，支持业务品种多样化发展。核心应用系统基本保持稳定持续运行，实现了7×24小时不间断服务。建立内部资源管理系统，推进人、财、物的有效管理。完善客户关系管理系统，逐步实现全行统一客户评价标准体系。建立多层次管理信息报表体系，建设集中的报表系统，提高量化管理水平。推进风险管理系统建设，初步建立信用风险内部评级体系，逐步推进市场风险内部模型法建设；开展自我评估与内部损失事件收集等工作，探索实施高级计量法，推进操作风险管理。

─ 电子银行渠道与创新应用不断丰富，金融服务水平持续提高。初步建成电子银行运营管理体系，建立涵盖网上银行、电话银行、手机银行、自助银行、电子商务的一体化、立体交互式的电子银行产品交易平台，和以客户中心、门户网站、消息服务为支撑的信息服务网络，电子银行交易替代率显著提高，电子银行渠道多样化服务体系基本形成。

加快创新，形成面向企业和个人客户的系列化产品体系。在网上银行方面，普遍提供在线查询、转账、汇款、银证转账、代客外汇买卖等服务，部分银行机构试办网上小额质押贷款、住房按揭贷款等授信业务。在手机银行方面，智能手机应用不断涌现。在自助银行方面，出现存取款一体机、自助缴费设备、自助发票打印设备等新型设备以及基于指纹识别技术的无卡交易。在电子商务方面，为电子商务应用提供全套在线支付解决方案，并进一步丰富了手机支付、电话回呼支付等支付手段。

在充分肯定成绩的同时，也需要认识到存在的问题和不足，主要表现在以下方面：

─ 信息科技与业务融合不足，信息科技治理水平有待提升。信息科技战略与企业战略结合不够紧密，部分银行机构尚未从企业战略层面开展信息科技整体规划；业务部门对信息科技战略规划的制定参与不够，业务架构不够清晰；信息科技战略规划后评价机制有待完善。信息科技组织结构、决策机制有待加强，决策职责分工和关键决策范围不够清晰，缺乏科学的决策分析方法和决策工具，缺乏有效的监督问责机制。首席信息官机制有待进一步推进。在信息科技架构与标准管理方面，尚未形成专业化的组织管理体系，对信息科技建设与运行的整体指导作用有待加强。制度框架有待完善，制度执行和监督力度相对薄弱；技术标准亟需健全。信息科技人力资源管理体系有待健全，部分银行机构信息科技人力资源不足，存在科技人员总量占比少、关键岗位配比低、核心技术领域高端人才缺乏等问题。绩效考核体系不够完善，激励与约束机制有待加强。信息科技成本管理有待加强，资源配置效率有待提高，信息系统建设投入产生的业务价值有待于量化评估。

─ 应用系统对经营管理和风险防控的支撑力度有待加强。应用系统架构扩展性和灵活性不足，应用系统间耦合性高，核心应用系统运行传导性风险较大。核心应用系统缺乏统一的产品管理机制，产品配置与产品组合灵活度不够，产品开发周期长。应用系统建设整体规划不足，“部门银行”现象、重复建设与资源浪费现象较为突出。管理信息系统对经营决策与前台营销支持不够；分析型客户关系管理系统所覆盖的业务范围不全面，与操作型客户关系管理系统的整合程度不高；指标流程化、规范化管理程度不高，应用系统对报表灵活定制的支持程度有待提高；对并表的自动化处理能力亟待加强。风险量化模型建设与系统整合度有待加强；各类风险模型的准确性、稳定性、规范性与透明度有待提高；计量结果在风险管理流程与风险监控等方面的应用有待提高；风险管理系统建设的整体规划前瞻性与系统性有待加强。

─ 基础设施的灵活性和完备性不足。信息科技基础设施复杂度高、部署时间长，基础设施布局规划不足，支持业务发展的灵活性和完备性不足，难以有效适应业务快速发展需要。数据中心规划选址过于集中，区域性风险较为突出；建设标准和管理规范有待完善；内部能耗偏高，资源循环利用能力有待提高，运营成本控制有待加强。部分银行机构数据中心安全保障和运维管理能力不足。

─ 数据标准规范不够完善，数据质量和共享水平亟需提升。数据治理体系建设较为滞后，缺乏专业化的数据治理组织机构以及明确的责任人体系，尚未形成良好的决策机制和管理机制。数据标准体系不够完整、清晰，数据标准贯彻执行力度亟待加强。数据质量亟待提高，对于风险管控和精细化管理的支持亟待加强。应用系统建设存在“重功能、轻数据”现象，难以提供准确、完整、统一的基础数据。风险数据同业共享机制有待建立。数据质量的长效管理机制与持续改进机制亟待加强。

─ 信息科技风险管理本身存在薄弱环节。信息科技风险管理尚未纳入全面风险管理体系；对信息科技风险的认识不充分，管理资源投入不足；对国外技术及设备的依赖度过高；信息科技外包缺乏整体规划与战略性设计。研发和运维体系有待加强，制度、标准与流程建设有待完善，研发质量保证体系、运维自动化与一体化以及绩效考核评价体系有待进一步健全。业务连续性管理处于起步阶段，业务应急机制不足，应急预案体系不够完整，信息系统灾备有效性不足，灾备切换演练未能真正贴近实战。电子银行的经营环境有待完善，制度、法规建设有待加强。外部攻击威胁以及银行卡和电子银行犯罪问题日益突出，安全防护能力建设有待加强；银行间信息共享和追踪配合机制有待建立。

 

第二章  面临的机遇与挑战

“十二五”时期，我国银行业面临新的发展机遇与市场环境，也面对新的风险与挑战。在这一重要战略机遇期，要实现提升核心竞争力、稳健经营、安全运行的目标，需要加强战略规划，深化内部控制和风险管理，转变经营理念、管理体制和发展模式。在这一背景下，大力推进信息化建设，以科技进步和创新支持银行业可持续健康发展并不断提高国际竞争力，是银行业应对挑战、提升整体综合实力的战略举措。

─ 经营环境发生深刻变化。“十二五”时期，在加快转变经济发展方式和经济结构战略性调整的背景下，我国银行业经营发展环境将发生深刻变化。金融市场发展，利率市场化改革，银行监管标准的实施都将对商业银行经营模式产生重大影响。在日益复杂的经营环境下，银行业金融机构需要在信息科技、流程再造和产品创新上实现新的突破，促进信息科技与业务融合，增强信息科技创新与服务能力，强化风险管理基础设施，积极推动业务转型，提高全面风险管理能力，转变规模扩张的外延式发展模式，走集约化、内涵式增长之路。

─ 精细化管理要求更加迫切。银行业新业务、新产品、服务新领域和新的管理方式不断涌现，交易规模日益扩大，市场竞争不断加剧。要提高市场效率，降低交易成本，减少操作风险，亟待提高精细化管理水平以提升核心竞争力。随着“以客户为中心”理念逐步深化，全面、准确、及时的多维度利润核算需求更加迫切，亟需建立先进的客户管理和市场细分系统，加强业务信息整合，提高市场分析和客户需求分析水平，提高资金运营效率。

─ 大型银行国际化进程加快推进。随着人民币国际化、利率汇率市场化改革的深化，我国国际经济合作范围不断扩大，企业和居民的跨境金融服务需求日益增长。在推进国际化经营过程中，银行机构需要制定清晰的国际化发展战略，具备与全球金融一体化相适应的风险控制能力和业务转型能力，提高运营效率和服务质量，提高业务连续性水平。在信息科技方面，要制定支持国际化的信息科技战略与规划，构建面向境内外、具有前瞻性和灵活性的体系架构，进一步整合业务流程，建立集约化运营机制，支持信息共享与业务联动；统一标准，快速部署产品，提升一体化全球服务能力，提高跨境风险防控能力。

─ 业务转型步伐加快推进。随着发展环境的深刻变化，银行机构需要调整经营结构、加快转变发展方式，制定差异化发展战略、推进业务转型、实现错位竞争。在坚守传统业务的同时，大中型银行从批发业务为主到批发、零售并重，从利差收入为主到逐步加大中间业务收入，形成多元、均衡、稳定的盈利增长格局。同时，随着资本市场发展，在收入多元化、客户需求多元化以及市场竞争需要等多重因素驱动下，大型银行积极拓展新的业务空间，审慎推进综合经营，增强一体化服务能力和跨市场盈利能力。为支持和推进业务转型，银行机构要进一步完善信息科技治理模式，提高信息科技规划、架构及标准化管理水平，推进数据整合、流程整合；细分客户群、深入挖掘客户需求，加快产品创新、提升资产管理水平、提高经营管理能力。

─ 风险管理步入新的发展阶段。“十二五”期间，国际金融监管架构和规则发生重大变化，金融机构改革不断深化，金融调控机制不断完善，新监管标准全面实施，我国银行业风险管理将发展到一个新的阶段。银行业要强化风险管理基础设施建设，完善风险治理组织架构，运用新型风险计量工具，强化内部控制和审计职能，改进激励考核机制；要强化数据基础，强化信息系统建设，为风险政策制定和实施、风险计量工具运用及优化奠定基础。同时，伴随信息技术与互联网高速发展，银行服务电子渠道日益多样，银行管理所涉及信息量急剧增大，加强客户信息保护，防止信息泄露风险任务更为艰巨，需要全方位地在应用系统生命周期、数据生命周期、基础设施环境运维等各个方面强化信息安全管理。

─ 科技创新推进业务变革。“十二五”时期，科技创新孕育新突破，新技术快速发展与我国经济社会信息化水平的全面提高，为银行业信息化发展提供了新的空间。各类消费电子技术蓬勃发展，三网融合进程加速推进，电子商务应用深化，客户与银行沟通的渠道将更为多样化，银行的销售和服务模式将发生深刻改变，多渠道灵活接入、多渠道整合、多渠道安全管理等，对银行应用布局、第三方合作管理、安全体系设计提出新的要求。宽带、影像、工作流及其它自动化技术更为普及，银行后台集约化运营的广度和深度都将进一步推进，对于信息科技应用架构布局、网络支撑能力、科技队伍研发能力提出了更高要求。随着绿色、低碳技术不断突破，需要提高基础设施容量规划、监控和管理能力，提高基础设施使用效率，有效降低成本。

 

第三章  信息科技发展的目标、原则、重点与实施策略 第一节 总体目标

 以满足业务发展战略要求为目标，全面优化信息化建设发展环境，努力提高信息科技自主创新水平，强化信息科技风险防范和信息安全保障能力，加强全面风险管理基础设施建设，推进向信息化银行转变；树立“科技引领”理念，增强核心竞争力，促进信息科技与业务发展的深度融合，推动业务和产品创新、流程创新、管理创新，增强可持续发展能力，为社会公众提供丰富、安全和便捷的多样化金融服务。

主要目标是：

─ 深化信息科技治理。建立信息科技治理机制和治理模式，完善信息科技治理决策机制，优化信息科技人才队伍总量、素质、结构，完善制度体系，提高信息科技资源的使用效率与效果。

─ 提高自主创新能力。加大应用研发和产品创新力度，以科技创新促进客户服务、产品创新、渠道拓展、风险防范、持续运营、管理

决策能力的大幅提升。

─ 加快发展电子银行。加大电子银行发展力度，拓展应用领域，发挥电子银行引领金融创新作用，推进电子银行成为银行交易主渠道和服务主平台，形成强大的产品与服务竞争力。

─ 不断夯实基础设施建设。持续优化基础设施规范和标准，进一步加强重要基础设施建设，逐步提升基础设施管理水平，不断增强服务保障和可持续发展能力。

─ 深化数据治理，夯实数据基础。建立数据治理体系与数据标准，提升数据质量和数据应用水平，提高数据价值创造能力。

─ 大幅提升信息科技风险防控能力。建立风险防控体系，推进信息科技风险管理与国际先进水平接轨，提升信息安全保障能力。

 

第二节 指导原则

坚持科学发展，注重战略思维、国际视野与创新理念，紧密跟踪银行业务发展趋势，把握信息技术应用方向，不断提升信息科技工作的集约化、规范化、自动化、精细化管理水平，有效平衡业务发展与信息科技能力建设、信息科技风险管理之间的关系，促进协调发展，全面提升信息科技核心竞争力，使信息科技成为推动业务转型、管理变革、产品创新和战略落实的重要力量。

─ 坚持围绕银行发展战略原则。要树立以信息科技发展进步提升银行核心竞争力、提升客户服务水平、促进业务发展的思想。要始终围绕银行总体发展战略和目标，以客户为中心，与业务紧密融合、协同发展，实现业务发展和信息科技水平的同步跃升。

─ 坚持自主创新原则。要坚持自主创新的科学发展道路，树立创新精神，提高研发能力，牢牢掌握信息化建设主动权。要充分发挥信息科技的第一生产力作用，将自主创新能力建设作为银行信息科技发展的战略重点，坚持自主研发与适度引进相结合，注重知识转移，重视培养创新型专业人才队伍，推动银行核心竞争力的有效提升。

─ 坚持全面风控原则。随着信息科技日益深入运用到银行经营管理全过程，要将信息科技风险管理纳入银行全面风险管理体系，贯穿于银行各个经营领域，覆盖信息系统建设的全生命周期，完善信息科技风险管理体系，提升信息安全管理水平，保障信息系统安全、稳定运行。

─ 坚持科技引领原则。要紧密围绕银行发展战略，把握大中型银行业发展方向，切实加强信息科技核心能力建设，以科技进步和创新引领银行业务创新与发展，推进银行发展方式的战略性转变。

 

第三节 战略重点

─ 树立“科技引领”发展战略，推动转变发展模式。充分认识信息科技在银行现代化建设中的核心价值，树立“科技引领”发展战略，把信息技术作为推动银行转变发展模式、实施差异化战略的关键源动力。以科技为依托，以创新为手段，形成特色服务与市场品牌，提升产品研发能力、差异化服务能力与支持保障能力。

─ 深化治理，着力提高信息科技核心竞争力。着重信息科技体制机制创新，加强激励与约束机制建设。完善信息科技决策机制，提高决策的科学性、有效性。加强信息科技队伍建设，科学规划信息科技人才成长路径，加快创新型、专业型、复合型人才培养，形成具有自主创新能力、具有国际化视野的高端信息科技人才核心梯队。加大信息科技投入，夯实基础设施建设，优化资源配置，探索精细化管理的有效方法，提高银行信息科技发展的核心竞争力。

─ 提高信息科技自主创新能力，提升金融服务创新和服务水平。创新是银行可持续发展的源动力，应紧紧围绕业务发展战略重点，坚持业务与信息科技协调发展。深入研究业务发展格局，跟踪全球金融服务信息化发展趋势，关注新技术发展方向，加强基础性、前瞻性、关键性技术研发，提高自主创新能力。重点突破信息科技服务的薄弱环节，从银行与客户的价值链入手，深度发掘客户需求，增强创新产品附加值，提高创新的系统性和针对性，通过信息科技创新带动管理创新、服务创新和产品创新。

─ 构建立体化全面风险管控体系，提高信息科技风险防控水平。要制定全面风险管理系统建设规划，按照新监管标准实施要求，加强风险管理数据基础设施的建设和风险计量模型的应用，建立健全具有统一性的、集成化的，覆盖信用风险、市场风险、操作风险及其它实质性风险的全面风险管理系统；建立内生式的主动风险管理模式，使风险管理成为银行健康、稳健经营的重要保障力量。要把信息科技风险管理纳入银行全面风险管理体系中，逐步完善规章和制度，贯穿于业务流程，覆盖信息系统生命周期各个阶段，逐步建立起信息科技风险管控的日常化、流程化、持续化机制。

─ 紧密结合新技术，构筑现代化电子银行。充分发挥电子银行对金融创新的引领作用，以电子银行创新推动金融现代化发展，加快推动电子银行在社会各领域的全面运用，进一步提升公众金融服务的质量和效率，使电子银行成为银行交易主渠道和服务主平台。电子银行建设应始终贯彻发展创新与风险可控并举，业务模式创新与技术创新并重。要充分运用电子银行的渠道优势、运营优势、服务优势和营销优势，加快电子银行发展和传统金融服务提升的相互促进，实现电子银行的持续、稳定、快速、健康发展。

─ 全面提升数据共享水平，深入挖掘数据的业务价值。数据是银行最为重要的资产，是银行业务经营与信息科技应用的核心，是支持精细化管理、提升风险分析能力的基础。在推进应用系统逻辑集中过程中，核心是建立统一的数据标准，实现各类应用之间的互联互通，保证数据的真实性、完整性、一致性，全面提升数据应用价值。

─ 加强环境建设，促进行业协调发展。积极配合国家相关部门，完善法律法规体系建设，有效防范金融信息犯罪和网络犯罪；加强协作，积极开展银行业交流与合作；加强金融信息标准化建设，提升公共信息共享能力，促进银行机构与非银行金融机构以及公共事业机构的合作，建立公共接入平台，推进跨机构、跨行业的高效互连互通。

 

第四节 实施策略

为保障“十二五”时期信息科技主要任务的完成和总体目标的实现，采取“加强领导、统筹规划，加强保障、有序推进”实施策略。

─ 加强领导、统筹规划。董事会和高级管理层要高度重视信息科技工作在全行经营管理、风险防控、自主创新等方面发挥的推动和引领作用，从战略高度和全局角度科学谋划信息科技工作，总揽全局、科学决策，加强指导、突出重点，扎实推进、狠抓落实。要着力解决当前存在的突出问题，有效落实“十二五”时期各项工作任务，大力推进信息科技能力建设。要进一步促进业务与技术的深度融合，充分调动各方面的积极性、主动性、创造性，相互协作，群策群力，形成信息科技建设的强大合力。

─ 加强保障、有序推进。要坚持以人为本，切实加强人才培养，不断充实人才队伍、构建人才梯队。统筹安排规划实施所需经费，切实保障重大项目顺利实施；继续加强对信息科技重要基础设施建设投入，不断完善成本管理机制，提高信息科技资源集约化、精细化管理水平。要根据“十二五”信息科技建设总体目标，基于差异化发展战略，客观评估差距，明确目标，分步实施，有序推进，持续优化；要根据经营环境的变化，结合业务发展趋势，适当调整、持续优化规划内容，提高对业务发展变化的适应性，保障规划的科学性、有效性。

 

第四章  推进信息科技治理能力建设，加强信息科技战略与企业战略协同

 

逐步建立长效的信息科技治理机制，确立信息科技治理模式，强化决策机制，完善制度建设，优化组织架构，加强成本精细化管理。

第一节 深入开展信息科技治理体系建设

─ 构建长效治理机制。推进在现代公司治理框架下、与业务运营模式相适应的信息科技治理模式与治理机制。完善信息科技治理结构，发挥董事会在信息科技治理中的核心作用，提高监事会监督效果，建立信息科技治理履职评价制度；加强信息科技委员会建设，推进首席信息官制度；完善信息科技决策规范和流程，提高信息科技决策专业性，把握信息科技发展方向与战略；分阶段、有步骤推进信息科技治理建设，逐步提高信息科技治理成熟度。

─ 加强信息科技与业务的协作融合。进一步建立新的环境下信息科技与业务部门间关系定位与责权利制度框架，推进业务和信息技术相融合的创新机制，倡导建立战略性合作关系。进一步明确在信息科技管理活动中业务部门的职责、流程，强调并发挥业务部门在业务需求分析与整合、应用项目业务价值分析、项目可行性研究与用户验收测试等过程中的主导、推动作用。

─ 加强内部管理。提高信息科技资源使用效率，提高成本管理水平，逐步建立可量化管理的信息科技服务需求与交付管理体系、信息科技项目评估体系，从业务价值、信息科技成本收益、信息科技服务水平等多维度对信息科技资源利用效果进行全过程的跟踪评价。

─ 加强信息科技决策体系科学化、规范化建设。加强决策体系建设，明确决策流程、授权机制、决策方法，加强制度和规范建设，着力提高决策的透明度和科学性。要建立科学决策的组织架构，明确董事会、高级管理层、专业委员会、各部门在决策过程中的职责分工。决策领域要覆盖信息科技关键决策，应包括战略决策、架构决策、重大项目建设决策等重要领域。要加强对决策过程与执行效果的审计监督，加强约束，落实责任。

─ 加强成本管理，推进信息科技财务管理体系建设。应进一步增强成本意识，完善信息科技财务管理体系，逐步建立信息科技预算、成本控制、成本分摊一体化的财务管理体系，提高信息科技资源使用的效率与效果。建立健全精细化的信息科技预算管理体系，加强成本控制。加强战略与规划对信息科技预算的指导性，提高信息科技预算的精确程度，提升资源配置决策质量和配置效率。建立完善信息科技预算考核机制，明确项目开发与系统运维服务预算相关主体职责权限，并将预算考核纳入到相关责任主体绩效考核中，提高信息科技资源使用效率与效果。

强化全面成本管理理念，逐步建立成本分摊模型和内部计价机制。逐步完善数据基础与管理工具，合理归集与分配信息科技成本，为精细化的信息科技财务管理奠定基础。建立对信息科技投入的评价与考核机制，逐步强化需求部门对于信息科技服务的成本观念，基于投入产出分析或成本收益分析进行信息科技投资决策，加强成本控制。基于信息科技资源使用量与服务水平等要素，建立精细化的信息科技成本分摊框架与分摊方法，逐步提高信息科技部门成本管理水平以及成本分摊的准确性，促进资源合理利用。探索信息科技服务水平协议管理方法，探索实施信息科技服务内部计价。

 

第二节 优化信息科技组织架构

基于战略规划与治理要求，持续优化信息科技组织架构，重点解决管理职能交叉或缺失、运行效率低下等问题，并建立信息科技组织结构评估与优化机制，持续提升组织管理能力。应定义关键信息科技能力，明确研发策略。应依据内控与合规建设要求，建立包含信息科技专业委员会、信息科技管理部门、信息科技风险管理职能部门与信息科技审计职能部门的组织体系，明确职责和人员岗位要求；重点加强在信息科技规划与架构、研发与项目管理以及制度与标准建设等重点领域的组织建设。

增强信息科技服务能力，加强服务流程管理。在业务需求管理、项目管理等领域，建立面向内部用户的、稳定的服务界面，提高信息科技与业务协作效应；在信息科技运行维护等领域，建立基于服务流程的、专业化、集约化信息科技服务组织体系。

 

第三节 加强信息科技队伍建设，提升信息科技核心竞争力

牢固树立人才资源是科学发展第一资源的观念，系统规划科技人才队伍建设，并纳入长期战略，统筹抓好各类人才队伍建设；要加大培养力度，引进优秀人才，建立健全科学的培训体系，完善职业生涯发展规划，健全绩效考核机制，打造梯次合理、素质优良、专业化程度高、适应战略发展要求的科技人才队伍。

─ 继续加大信息科技人力资源投入，提高关键岗位信息科技人员比例。科学制定信息科技人力资源规划，加大信息科技人力资源投入，提高关键岗位信息科技人员比例；原则上，信息科技人员占比应不低于3%。以自主开发为主的银行机构，信息科技人员占比应不低于4%。

基于人力资源规划目标，建立人员补充机制；董事会和高级管理层应督促、指导制定有关人力资源政策和措施。应进一步明确总、分行信息科技职能定位，优化总、分行科技人员配置结构。

        ─ 拓宽信息科技人员职业发展空间，完善激励约束机制。应完

善岗位职责说明书制度，细化人员岗位职责和技能要求。进一步建立并持续完善与行政序列并列、与薪酬挂钩的信息科技专业职级体系，完善晋升机制，拓展信息科技人员职业发展空间。应进一步完善激励约束机制，制定精细、量化的绩效考核指标，全面、科学评价信息科技部门与人员工作绩效。

─ 明确核心能力发展要求，完善人才培养机制。明确信息科技核心能力，制定适合银行发展战略的专业人才培养计划。基于信息科技战略与规划、信息科技人力资源规划、外包策略与未来技术方向明确核心能力要求，制定信息科技人员专业化培养方向，在需求分析管理、架构管理、测试管理、系统与数据库管理、服务水平管理等关键领域加强专家级人才的培养与引进。

进一步提高信息科技培训的专业化水平，针对不同关键岗位和关键能力，制定细化、差异化培训目标，推进信息科技培训与专业岗位技能要求的有机结合；应紧跟信息科技与业务发展动态，建立覆盖入职培训、在职岗位培训、专业培训的全方位培训课程体系。加强培训效果评估和跟踪，提高培训成果转化率。

 

第四节 构建信息科技制度框架，有效提高管理水平

制定、完善信息科技制度体系建设策略，明确制度框架、职责分工和授权原则、重点建设领域及其优先级。制度框架要基本覆盖信息科技各主要领域，包括战略规划、架构、运行、开发、测试、安全、灾备管理等。要不断完善各项制度，结合实际情况，重点加强对架构管理、数据治理、外包管理、信息科技成本管理和业务连续性管理的制度建设和流程建设。

应设立专业化团队或岗位负责制度体系建设的总体管理，承担组织协调以及框架体系建设、制定建设计划、统一建设标准等各项工作。应明确各级管理人员在制度管理领域角色和职责，明确各项制度、流程和标准建设的责任人。应建立制度建设持续改进机制，加强制度变更管理。积极推进多渠道的制度宣传和培训，提高制度执行力。

充分认识信息科技标准化工作意义，统筹规划总体框架、积极构建全行统一的技术与管理标准体系，贯穿于企业架构各个层次，覆盖系统、应用、安全、数据等各领域；要建立健全标准管理流程，建立专家评审机制，把好标准质量关；要加强对标准实施情况的监督、跟踪，开展标准后评估和修订工作，保持标准的连续性和一致性；要积极借鉴国际标准和最佳实践，注重与国际标准的兼容，加强我国银行业自身标准的研究、制定；要树立标准的权威性，切实增强标准的执行力、影响力。

 

第五节 建立健全架构管控体系，贯彻落实信息科技战略

充分认识信息科技架构规划的重要性，在业务架构基础上，建立覆盖应用架构、数据架构和基础架构的信息科技架构规划。要制定并落实应用架构、数据架构、基础架构建设原则，建立架构设计规范标准，指导并约束项目和项目群实施。

建立信息科技架构管控流程，完善战略规划、架构设计、项目群实施的全流程管理体系，加强协同与融合，逐步从项目驱动、业务条线驱动方式转变为架构驱动的信息科技建设模式，建立企业级架构管控组织和流程，建立架构管控平台，确保架构贯彻落实。

建立架构评价体系，持续跟踪并监测架构规划的执行情况，在保持架构相对稳定的基础上，适时调整架构规划以适应发展要求。探索架构成果资产化管理，将企业架构成果纳入到可重用资产管理范畴，建立企业架构资产库。

 

第五章  打造智能绿色基础设施，提高支持业务发展能力

“十二五”时期，大中型银行应切实加强基础设施整体规划、建设和管理，充分满足经营管理战略转变和业务创新要求，适应业务发展趋势，快速响应应用系统灵活部署的要求。

第一节 加强基础设施优化整合，提高基础设施支撑保障能力

─ 提升基础设施规范化水平，建立弹性的基础设施架构。系统性地规划信息科技基础设施整体架构，针对系统、网络、机房环境等基础设施建立完善的规范和标准体系，建设高效率、高整合、低能耗、易管理、易扩展、前瞻性的绿色、智能、弹性基础架构，确保基础设施建设快速、有效、可持续发展，实现投入产出的最大化，为业务发展提供有力支撑。

建立健全信息科技基础设施规范和标准体系，提升信息科技基础设施建设和管理水平。根据业务发展战略和应用系统部署规划，借鉴国际标准和最佳实践，以优化整合、高效稳定、灵活动态、绿色节能为原则，以可量化、可操作、可评估为目标，制定硬件设备、操作系统、数据库、中间件、存储等软硬件平台规范和技术标准，为应用系统规划设计、部署上线和运维管理提供指导；制定数据中心局域网、广域骨干网、广域接入网、Internet接入网等网络规范和技术标准，加强网络安全控制，提升网络整体效能；制定涵盖机房选址、土建、内部装修、供配电、给排水、暖通与空调、安保、综合布线、楼宇自动化等方面的机房环境建设规范和技术标准，为数据中心规划设计、建设实施和运维管理提供指导。

推进现有基础设施优化整合，建立弹性的基础设施架构。按照应用架构、数据架构规划和部署要求，自上而下的确定基础设施建设和发展路径，在充分分析基础设施现状基础上，有计划、有步骤推进现有基础设施优化整合，逐步建立模块化、组件化、标准化的弹性基础设施架构，降低基础设施架构的复杂度，实现架构动态可扩展，并建立与之相适应的运维流程和服务管理体系，推进基础设施向灵活、高效、安全可靠和可管理的方向发展，有效缓解现有基础设施规模不断扩大、基础架构复杂多样、运维管理难度不断加大的局面，提高各类基础设施资源的使用效率和服务支撑能力，满足业务应用快速部署的总体目标。

─ 推进系统软硬件平台优化整合，提升系统资源利用的集约化程度。基于“一体化”和“差别化”原则，综合分析和梳理各种系统资源的共性功能，通过虚拟化、标准化、自动化等手段实现组件化的基础设施资源配置，建立服务器和存储资源池，提高系统资源的灵活性、可用性，提高利用率，降低系统的复杂度和管理成本。建立与系统资源池相适应的基础软件资源组，建立基础软件生命周期全过程的使用策略、更新升级机制和退出机制，建立高效、经济的基础软件服务体系。

─ 推进网络平台动态调整，建立灵活高效的网络架构。进一步加强面向业务的网络资源快速调度和网络资源优化整合，全面提升基础网络对业务的服务保障能力。利用网络虚拟化技术和面向应用的网络技术，实现信息资源在网络上的智能动态分配，提升网络架构负载均衡、迂回路由、无缝切换和故障隔离能力。推进统一网络支撑平台建设，实现业务数据、语音、视频的全网融合，并针对不同类型的业务流制定网络安全和动态流量分配策略。积极探索数据中心、网络中心松耦合模式，提供流量汇聚转发与业务服务之间清晰的管理边界，在保持网络整体结构稳定的同时，提高网络架构的扩展性以及对业务支持的灵活性。结合自身经营管理模式和业务发展需要，研究广域接入网汇聚模式改造，取消二级网络汇聚功能或二级骨干网，满足分支机构网络扁平化接入要求，简化网络部署架构和运维管理成本。

─ 加强数据中心规划，切实提高基础设施防灾减灾能力。根据业务发展战略，从国家战略安全出发，参考“两地三中心”或“多中心互备”等数据中心布局模式，加强基础设施规划和风险防控。新建或在建的数据中心项目，在规划过程中要统筹考虑区域地理环境、配套设施等综合因素，兼顾自身风险偏好与行业全局风险控制要求，在全面风险评估基础上进行基础设施选址，避免规划选址处于地震、台风、水灾等自然灾害多发地带，避免区域性过度集中而产生的风险传导与放大效应，加强全局性风险防范能力和对灾难的快速恢复能力。已建成的数据中心项目，应重点分析基础设施所在区域地理环境、电力与通讯保障、安防等风险因素，切实加强应急管理和风险控制，强化内部安全管控措施，加强与所在区域外部保障的联动能力，防范外部环境风险隐患。

充分考虑业务与技术发展趋势，合理规划数据中心建设规模和容量，积极倡导数据中心区域模块化设计和分区分级管理，提高功能空间的扩展和灵活分配能力，统一规划基础环境保障资源，实现供电、空调等基础环境保障资源容量动态分配和调整，提高环境资源的利用效率，优化基础设施环境资源使用方式，有效提升服务保障能力。

 

第二节 提高基础设施管理水平，提升基础设施服务能力

─ 加强基础设施在业务应用全过程中的管理，实现基础设施资源按需配置和动态调整。加强基础设施在业务应用的需求分析、规划部署、运行维护和退出各阶段管理，在灵活、可扩展的基础设施架构基础上，满足业务应用各阶段对基础设施资源的动态需求。

在需求分析阶段，建立对业务应用资源需求的预评估机制，在实现初步功能需求基础上，提供基础设施架构中相应的资源组合和平台方案，并进行能力验证。在规划部署阶段，基于业务发展趋势分析，满足业务应用对基础设施部署方式、处理能力、软硬件平台、存储容量等需求，实现基础设施服务的标准化、自动化管理，保证基础设施资源中各组件发挥最大效能。在运维阶段，及时调整资源配置以满足应用的变更管理与配置管理；建立业务需求跟踪管理机制，定期分析资源使用状况，分析业务发展趋势，及时进行资源的再分配与再利用。在退出阶段，及时将基础设施资源回收到资源池，实现资源的再分配；及时更换和淘汰资源池中的老旧系统和设备，保证资源池的健康性，保障在线应用系统的安全、稳定和高效运行。

─ 加强基础设施安全管理，全面提升基础设施安全水平。进一步优化系统整体架构、降低复杂度，加强设备冗余配置，加强实际冗余能力验证，采用高可用或虚拟化等技术手段保障系统设备运行的安全性和可靠性。加强系统基础软件访问控制和权限管理，降低偶然或恶意入侵破坏、更改信息或泄漏信息威胁。

加强网络安全访问控制机制建设，细化数据中心局域网网络功能分区建设，合理划分安全区域与安全等级，采取相应的网络安全策略，强化数据中心局域网整体安全性。加强与内部分支机构、外部网络互联的安全隔离与控制，防范网络外部入侵和攻击。保障数据中心、运营中心、外部第三方等多点的网络互联安全，采用多路由接入、备用网络等措施，化解网络安全风险，保障前后台业务间和第三方接入访问通畅。

加强机房环境安全，重点加强机房电力、UPS和冷却系统等关键机房环境设备安全保障，在设备技术标准和配置容量、设备备品备件以及技术维护服务保障等多方面，提高电力、UPS和冷却系统的可靠性和安全性。严格制定并落实机房管理制度，加强机房环境消防安全，消除消防漏洞带来的环境安全隐患。

建立基础设施安全验证机制，明确基础设施安全验证范围及方式，重点验证系统和网络高可用的完备性，基础环境设备的备品备件配置完整性，以及相关人员在各项安全保障流程中的操作规范性，检验基础设施相关的安全、流程和管理措施漏洞，确保基础设施安全管理有效性。

─ 加强业务目标与基础设施建设方向的一致性，提升基础设施资源配置的精细化管理水平。明确各类业务的基础设施资源需求，建立基础设施资源配置计划。在业务分类分级的基础上，结合业务发展目标和基础设施规划，按照绿色弹性基础设施架构要求，依据系统、网络、机房环境等基础设施建设规范和技术标准，建立对应各类业务需求的基础设施资源配置计划。并根据业务、技术和基础设施发展情况，适时调整资源配置计划。

加强资源配置方案论证和评估，规范资源配置流程。加强对资源配置需求方案的论证和评估，综合考虑业务类别、级别、规模、发展趋势和运营模式等因素，按照基础设施资源配置计划，确定系统软硬件、存储和网络等各方面基础设施资源配置要求，有序组织各项资源配置实施，实现基础设施资源集中配置和统一管理。

推进基础设施服务水平的量化管理。建立系统的、可操作的基础设施服务评价指标，包括基础设施配置对业务应用需求满足程度、基础设施提供服务的可用性、基础设施资源变更的有效性、基础设施资源成本的可控性等。

 

第三节 加强技术应用，提高基础设施可持续发展能力

─ 践行绿色节能社会责任，提高基础设施可持续发展能力。推进基础设施使用方式的转型，落实弹性基础架构建设，实现对基础设施资源集约高效利用。积极采取合适的绿色节能技术，履行节能降耗社会责任。

加强基础设施冷却系统和供电系统规划设计。根据数据中心所在区域的自然环境状况，探索液体冷却、自然风冷、精确制冷、变频制冷和热能回收等制冷节能技术应用，提升数据中心制冷能效比。选择电力传输和转换效率高的设备设施，采用适宜的智能电力调度系统以实现供电系统的高可用、智能调度和节能减排。重点关注建筑群体能耗、服务器能耗、空调能耗、UPS能耗，实现日常运行过程中对重点能耗的监测与统计，提高基础设施节能水平，降低基础设施运行成本。

加强基础设施整体规划，通过高效率、高密度、虚拟化设备集群实现节能降耗。推进闲置设备与能效比低的老旧设备替换，推广应用节能、高效率设备，降低数据中心部署设备的整体能耗；提高机架单元的功率密度，通过虚拟化等技术提高设备负载运行的能耗效率。采用能耗管理工具提高电力和冷却系统设备承载量；加强各类系统设备能耗监控装置配备。

积极跟踪、试点先进节能降耗技术，持续有效的推进节能工作。积极试点可再生能源利用；结合基础设施所在地域特点，采用先进的建筑节能措施，改造现有基础设施环境；探索回收节能、交换节能、自适应节能等技术应用。

─ 加强新技术在基础设施领域的应用，提升基础设施服务保障能力。在风险可控前提下，结合自身基础设施建设特点及业务发展需求，积极跟踪、试点和推广应用新技术、新产品，提高资源使用效率，快速响应业务发展对系统资源的需求，提升基础设施服务保障能力。积极推进新技术在开发、测试环境的试点，充分分析新技术蕴含的风险因素、有效评估新技术带来的综合收益，有计划、有步骤地推广应用。积极与国内相关科研机构及IT企业联合攻关，打造具有自主知识产权的基础设施平台；逐步提高国产软硬件产品应用比例，有效提高金融信息安全防范能力，逐步摆脱核心技术受制于人的被动局面。

积极推进虚拟化化技术在基础设施领域应用。深入研究服务器虚拟化、存储虚拟化、应用虚拟化、网络虚拟化等虚拟化技术应用，实现各类物理资源逻辑化，建立可动态管理的“资源池”，提高设备资源利用率，简化系统管理。逐步整合数据中心内部资源，分类划分各应用系统功能，为不同的业务应用提供针对性的虚拟化资源，提高各类基础设施资源利用率，增加资源调配的动态灵活性。

加强云计算技术在提升基础设施服务能力方面的研究。积极探索云计算、云存储等新技术在银行业务、应用模式、应用场景、安全性和可靠性方面的研究与应用，充分分析云计算安全风险，积极探索利用云计算技术，降低信息科技建设和运维成本。

研究物联网发展对业务运营与管理模式产生的影响。探索物联网在快速识别客户、了解客户需求、为客户制定专项化服务等方面的应用，提升客户体验；探索利用物联网对固定资产进行全流程管理。

第六章  加强信息科技风险管理，完善研发运维体系

“十二五”时期，大中型银行要把加强信息科技风险管理作为一项重要任务，培育信息科技风险管理文化，优化组织架构，制定信息科技风险管理战略、政策、制度、流程、方法，提高组合风险管理水平，将信息科技风险管理纳入到全面风险管理体系中；把风险管控贯穿于信息系统生命周期，建立起信息科技风险管控的日常化、流程化、持续化机制。

第一节 建立全面的信息科技风险管理体系与长效管理机制

─ 构建全面的信息科技风险管理体系。构建全面的信息科技风险管理体系，根据风险战略与信息科技战略规划，制定信息科技风险管理战略、政策；进一步完善信息科技风险管理组织架构，完善决策流程，推进董事会和高级管理层履职评价；推动将信息科技风险管理纳入全面风险管理框架，探索信息科技风险与其他各类风险组合管理。建立信息科技风险识别、计量、监测和控制流程，涵盖信息系统生命周期各个环节。建立信息科技风险监测指标体系，明确关键风险指标，建立常态化的信息科技风险监测、预警与处置机制，开展日常评估、检查和审计等工作，全面识别风险，及时制定和实施控制措施，建立评估控制有效性的程序。建立清晰的信息科技风险报告机制，定义报告内容、频率、对象及路线，董事会、高级管理层、信息科技部门、风险管理部门以及审计等各相关部门应及时掌握风险状况与趋势。建立信息科技风险信息采集、评估与监控管理平台，建立自动化管理流程。积极探索信息科技风险损失计量方法和计量标准，逐步建立信息科技风险损失数据库，收集信息科技风险损失数据，直观计量信息科技风险损失，实施信息科技风险定量分析及趋势分析，支持信息科技风险管理决策。

─ 加强协作，提升信息科技风险管理协同效应。加强与国家相关部门和机构协作，建立信息科技风险协防机制，提高主动防御能力。加强同立法机构、公安机关、电信、电力、交通、消防等部门协作，保障数据中心等重要基础运营环境安全，促进电子交易法律保障体系建设，打击电子交易违法行为和金融网络犯罪；建立跨行业、跨机构、跨区域的应急协调机制，积极应对各类突发事件，保障业务经营活动持续性。

第二节 加强信息安全管理，全面提升信息安全保障能力

─ 夯实信息安全基础，推进信息资产分类分级管理。深入开展等级保护，建立重要系统安全防护体系和技术管理体系，建立主动防御机制。逐步推进信息资产识别和分类、分级工作，建立信息资产分级标准、规范，明确安全策略和保护要求。落实管理责任，统筹推进信息安全管理工作，确保信息安全管理范围的全面覆盖。加强敏感信息保护，防止信息资产违规泄露，加强向外部提供信息的统一管理，严格审核，归口发布。综合运用技术和管理手段，加强终端设备的安全管理。

--强化系统建设各环节的安全管控，加强安全质量管理。建立和完善信息系统生命周期安全管理机制，加强信息安全管理制度体系建设，覆盖信息安全方针、策略、管理要求、操作流程、应急计划和联动机制。加强信息系统建设全过程安全管理，制定信息安全规划，建立信息安全架构，统一部署信息安全功能，提高安全措施效率。加强需求与设计阶段安全功能需求分析与设计，抓好安全测试工作并贯穿系统研发过程，检测安全漏洞，评估安全需求的符合性。加强上线前安全评估，评价系统安全性以及对整体安全保障体系影响。加强系统运行安全评审，及时发现并处置安全隐患。

─ 优化信息安全技术防控手段，实现纵深防御。优化信息安全技术防御体系，在物理安全、网络安全、系统安全、应用安全、数据安全、操作安全等不同层面，完善身份认证、访问控制、资源管理、日志分析、操作审计等安全功能，主动应对安全威胁，重点防范外部攻击，提升信息安全保障体系的健壮性和有效性。强化基础设施安全保障，深化应用系统安全建设，增强应用产品安全性。建立用户认证和访问控制管理流程，加强数据访问权限管理，有效保护信息资产。

─ 建立信息安全保障能力评价机制，保障信息安全管理有效性。建立信息安全保障体系评价机制，建立量化指标，及时开展评估、审计，建立持续改进机制，保障信息安全管理的持续性、有效性。

第三节 强化研发体系建设，掌握信息科技核心能力

─ 加强软件研发生命周期管理。加强需求管理，建立内部跨部门、跨产品线的需求统筹规划与整合管理机制，明确需求部门、开发部门等各相关部门职责；探索模型化需求分析方法，加强需求分析的标准化、规范化；加强需求分析和需求评审管理，保障业务需求与战略规划的一致性。建立非功能性需求管理流程，制定非功能性需求管理规范。

加强开发管理，加强开发模型的研究与运用；完善计划变更、需求变更、设计变更等管理流程，完善授权、审批机制，明确管理职责。

加强测试管理，明确测试管理部门职责，完善测试管理制度与流程；产品开发和测试管理职能部门应统筹做好系统测试、集成测试、性能测试、容量测试、压力测试等测试工作；加强测试方法、测试工具的研究和运用，提高测试自动化程度，提高测试效率和测试质量。

健全版本管理制度、流程，加强项目群的版本依赖管理，加强软件版本测试。建立软件产品后评估机制，加强产品成本效益分析，强化成本意识，促进软件产品投入产出水平的持续提升。建立研发技术标准框架，制定覆盖主机、开放平台、系统工具软件等方面使用、设计和编码等研发技术标准，加强标准在研发过程中的推广使用力度，持续提高研发管理标准化、规范化程度。

─ 提高软件质量保证与项目管理水平。借鉴国际标准与实践，建立软件产品质量保证体系，制定质量管理标准，加强过程控制，探索模型与量化方法，提高全面质量管理能力。加强项目管理，完善项目管理组织架构、管理制度和管理流程；加强项目验收和后评估管理力度，强化管理职责，完善管理制度、流程，促进提高资源使用效能。加强流程管理，逐步建立统一的自动化管理平台。探索项目规模评估方法，逐步开展项目规模评估；加强绩效考核，不断提高项目管理精细化水平。

─ 加强自主创新。紧随信息科技发展步伐、紧跟银行业体制改革方向、紧盯金融市场发展趋势，拓宽国际化视野，加强基础性研究，鼓励和支持自主创新，有效提高研发能力。探索研发模式创新、管理机制创新，推进产学研一体化的发展模式创新。加大基础性研发投入，加强专业队伍建设。跟踪新兴技术发展趋势，积极探索新兴技术在金融创新中的应用。倡导在系统研发生命周期各管理环节建立自主创新工作机制，着力在新技术研究、需求分析、方案设计和软件产品后评估环节加大对自主创新的支持力度。建立激励机制，加强创新成果应用，加强知识产权保护。

 

第四节 强化运维体系建设，提升系统服务水平

─ 加强运维流程管理。进一步完善运维管理流程，健全运维管理制度和标准，重点加强事件管理、问题管理、变更管理、配置管理等关键管理流程和数据管理、机房管理等制度标准建设与执行力。加强管理流程整合，完善信息交互机制，形成闭环管理。强化事件分级制度，建立有效的事件升级及响应机制；加强事件后续分析与处理，不断优化管理流程；建立变更分类标准和变更分级审批流程，完善变更窗口管理制度，有效降低变更对生产运行的负面影响；制定配置参数移植、修改、备份、存储、更新、销毁等方面的管理制度，控制配置操作引发的风险。完善数据存储、使用、传输以及备份管理，进一步制定标准、规范，重点强化客户信息和经营分析数据等敏感数据访问控制、清理、销毁以及数据变形使用管理；进一步加强机房人员、供电、空调、防火管理。

─ 加大集中监控及一体化管理力度。健全生产系统软硬件、网络及应用系统性能监测指标体系，优化监控策略；在实现对系统、设备、网络、基础环境等监控基础上，重点加强对核心应用系统和电子银行渠道监控；构建统一监控平台，统一管理和展现各种监控资源，实现集中告警方式，全面、及时掌握系统整体运行状态，快速定位故障、缩短处理时间；加大对总分行监控系统整合力度，提高总行对分行生产系统监管能力，进一步完善监控、响应、处理、报告、反馈和跟踪机制，实现全行范围基础设施和主要应用系统生产运行情况的全面监控，提高运行管理的全面控制能力。提高运维管理自动化水平，整合操作、维护、监控、响应、处理等管理流程，推进企业级总控中心（ECC）建设，促进运维管理一体化。

─ 健全运维绩效考核评价机制。建立管理流程评价模型和量化标准，推进员工岗位绩效考核，制定系统运行关键绩效指标，建立生产运行绩效考核指标库；以系统可用率为基础指标，制定应用服务目录，建立生产运行量化绩效考核评价体系，推动提高运维服务水平。

 

第五节 建立业务连续性管理体系，保障金融服务持续稳定

─ 构建业务连续性管理框架，为业务持续运营奠定基础。将业务连续性管理纳入银行全面风险管理范畴，建立业务连续性管理组织架构，明确董事会、高级管理层、风险管理部门、业务部门、信息科技部门以及后勤保障等各部门职责，统筹推进业务连续性管理工作。明确业务连续性管理体系建设策略、管理流程、阶段性目标与实施路径，探索建立业务连续性全生命周期管理机制，将业务连续性管理嵌入到业务流程中；根据风险战略、政策，遵循“风险可控、成本可算”原则，制定业务分类分级保护策略，与业务活动的性质、规模和复杂度相适应；探索要素分析模型，深入开展业务影响分析，科学确定关键业务恢复次序与恢复时间要求，明确业务恢复目标；制定恢复策略与业务持续性计划，开展业务持续性管理有效性评估；建立动态的恢复指标管理制度，明确恢复指标归属管理部门，定期评估恢复指标的有效性。优化资源分配，制定容量规划，建立通道管理机制，提高运营支持响应能力。加大培训力度，加强文化建设，提高全员危机意识、风险意识。

─ 加强应急处置，提高协作能力。建立健全应对突发事件的预警、报告、决策、指挥、响应及退出等环节的应急处置机制。制定监测指标，实时监测业务运行状态，及时发现异常情况，及时预警；建立清晰的报告流程，明确报告路线；建立应急指挥、决策体系，统筹协调，高效决策，保证指挥流程畅通；制定应急处置响应流程，加强关键岗位人员配置。

建立应急预案一体化管理体系，建立涵盖总体预案、专项预案等预案框架；统筹预案管理，加强预案之间的衔接与配套；建立有效的预案维护机制，涵盖预案制定、评审、发布、变更和回收过程；制定预案编制规范，保证预案编制质量；强化预案后评价与持续改进机制，保证预案有效性。

推进与政府机构、公共事业机构、金融同业机构、银行服务机构等外部机构的应急协作机制，促进信息共享，加强战略合作，推进协调联动。

─ 完善灾备体系，提高灾难恢复能力。根据风险战略与业务连续性目标，制定灾难备份体系建设策略与实施路线；以业务有效恢复为目标，逐步加强灾备体系建设；逐步加大数据、系统、基础设施等各类资源的保护范围以及恢复能力；逐步推进分支机构灾难备份建设，提高电子银行渠道灾难恢复能力，推进外联交易、支付、清算等重要渠道灾难备份建设。

探索灾难备份体系建设模式，加强架构设计，应用技术创新，加强数据中心集约化、标准化、流程化管理；深入研究数据中心“双活”、“多活”建设模式，提高数据中心之间相互备份、切换和接管能力。

─ 加强应急演练力度，保证应急灾备体系的有效性。加强应急演练，加大演练频度、扩大演练覆盖范围，采取计划性、非计划性等多种演练形式，有效验证应急响应及灾难恢复流程、决策机制、指挥体系、报告渠道、资源保障效果与能力，通过演练提高认知、完善技能。逐步推进以真实业务接管为目标的实战演练，逐步加大实战演练频度，全面提高应对重大突发事件能力。推进跨地域、跨机构、跨行业应急演练，加强合作、相互支持、共享经验，促进行业以致社会整体应急管理水平的提高。

 

第六节 建立健全信息科技外包管理机制，防范外包风险

─ 确立信息科技外包策略。随着信息科技外包快速发展，在大中型银行国际化、集团化发展趋势下，新的外包风险特征不断呈现，要重点加强外包战略管理，加强风险控制，适应外包发展趋势。要制定明确的信息科技外包战略与实施策略；坚持“风险可控、成本可算”原则，加强外包决策，审慎确定外包范围，防止过度外包；以提升核心竞争力为目标，加强知识转移，控制关键技术，提高技术创新能力、自主研发能力与管理服务能力。

─ 建立信息科技外包管理体系。建立信息科技外包管理组织架构，建立管理制度、流程与风险控制机制。建立外包立项、供应商选择、合同谈判与签署、日常管理和评价验收管理，以及退出和应急管理程序。加强外包服务商资质管理、建立名单制度，审慎选择外包服务商；加强外包合同管理与外包服务活动安全管理，明确服务水平要求，重点保护信息安全；加强外包变更管理，制定外包服务应急计划；探索建立外包服务保险机制；加强日常监督管理，建立外包服务考核、评价机制。加强集团内部外包风险管理，建立有效的防火墙制度；加强离岸外包风险管理，加强国别风险监测、评估。逐步建立外包服务商资质与服务标准，推进行业外包风险评估机制，防范外包服务商过度集中风险。

 

第七章  加大应用体系建设力度，提升经营管理能力与客户服务水平

 

“十二五”期间，大中型银行核心应用系统建设要以提升银行核心竞争力为目标，基于业务发展战略，注重顶层设计，加大科技创新力度，在客户服务、信息管理、产品创新、渠道拓展、风险防范、持续运营等方面大幅度提升应用水平与管理能力。

第一节 推进核心应用系统建设，打造高效灵活的业务运营平台

─ 建设稳定的基础平台，支持应用系统高效运行。以业务架构为基础，构建灵活、高效、稳定的应用架构。运用层次化、构件化方法整合应用系统，推动建立高内聚、松耦合的应用架构体系，快速响应市场需求。参照前端渠道服务层、服务和交易处理层、后端风险管理及分析决策层的银行核心应用系统分层模式，以服务和交易处理层为中心，通过自助式电子银行、协助式柜面以及外联合作方等前端渠道服务层为客户提供交易和产品服务，向风险管理、决策管理、内部管理等后端风险管理及分析决策层提供基础业务数据。在应用系统架构建设与整合过程中，应注重各应用层以及应用模块的独立性和专业化服务能力，充分考虑业务需求和非功能性需求，有效控制应用系统复杂度。

构建企业服务总线，提高资源重用能力，实现动态、灵活的应用集成，加强多渠道服务整合，提高客户体验的一致性，构建可重用、快速满足市场需求的服务平台。建立统一的整合机制，支持将不同应用或组件提供的功能进行组合以实现新的业务功能；在开放、灵活和安全的基础架构上，提供端到端的跨产品、跨渠道、跨平台的统一解决方案；建立多渠道、多产品统一的客户体验，实现客户信息和产品资源在不同渠道共享，提高各类渠道交叉销售与协同服务功能。

─ 实施产品化开发，提升客户服务能力。在保持传统业务领域产品的稳定和发展基础上，提高产品设计能力和差别化服务能力，在“成本可算、风险可控、信息充分披露”前提下，推进具有核心竞争力的金融产品创新，满足多元化市场需求。

以客户为中心、市场为导向，提高市场需求与客户需求分析水平。实现产品化开发，提炼产品属性并进行集中管理和组合配置，实现产品属性对产品生成、发布、销售、使用的关联控制，支持产品差异化定价。支持客户产品功能的个性化定制，满足客户多元化、个性化需求。构建以市场为导向、统一规范的产品管理平台，实现产品目录自动生成和统一维护，推进全行范围产品生命周期管理。

建立、健全企业级客户信息系统，统一客户视图，支持差异化客户营销。实现基本客户信息数据统一管理、信息共享；以单一、完整、全景视图展现客户信息，唯一识别客户。实现客户群体分类，支持业务部门快捷、方便地获得更准确、更完整的客户信息数据，实现差异化营销。扩大分析型客户关系管理覆盖业务范围，加强与操作型客户关系管理系统的有机整合与数据双向交互，推进事件式营销功能建设，共同组成集营销创意、分析、实施、后评估等功能于一体的客户关系管理系统。

完善支付结算处理。加强与现代化支付系统对接的配套系统建设，提高国内跨行支付结算效率。研究建立统一的支付平台，集成行内支付、境内跨行支付、境外汇款及其清算处理，统一管理行内、跨行支付，为支付业务提供高效的清算服务。

完善票据系统处理功能，推动票据电子化发展。持续优化票据系统业务流程，支持和推动票据影像和电子票据业务的发展，提高资金支付的效率和安全性，不断扩大电子票据业务品种。

─ 支持网点服务转型，加强外联系统建设与整合。提高网点营销和服务能力，提升网点效能，实现客户分流、客户识别、客户等待超时、高端客户机会营销监控等功能，推进业务后台集中化处理，加快网点由交易型、操作型向服务型、营销型的职能转变。加快柜面业务向电子银行渠道转移，优化自助设备操作流程、提高响应效率，加大自助设备配置，分流柜面压力。注重营业网点与自助设备、电子渠道的整合互动，创新网点业务运营模式，提高网点服务质量和营销效率。在业务集中化运营基础上，充分运用现代通讯技术，创新与客户互动模式，提升客户体验；加强对业务处理状态的远程监控、远程授权研究，加强网点现场监控与远程监控的整合，推进物理监控与前中后台业务管理有机结合。

加强与证券、保险以及其它外部机构信息互联互通，推进外联渠道服务的接入整合，提高网络等资源利用率，倡导与外联机构采用总对总对接方式，逐步减少分支机构外联节点；研究建立数据交换标准，规范银行外联金融业务信息交换，提高外联接口稳定性。加强与监管部门信息系统的互联互通，实现监管数据完整、及时、高效、安全报送。

─ 支持流程银行建设，提高业务运营效率。加快推进从“部门银行”向“流程银行”转变，结合自身发展战略，形成清晰的业务管理条线，统一规划流程银行业务架构，逐步完善业务流程模型；优化组织架构，按照以客户为中心的理念，系统改造和优化业务流程和管理环节，提高业务运营效率，促进业务流程的标准化、规范化，控制操作风险与合规性风险。构建支持流程银行基础设施，建立公共信息标准，建立统一的应用架构与服务平台、服务总线和工作流引擎，建立统一的运营管理平台。建立和完善电子影像、验印等底层支持系统，健全系统功能、提高系统稳定性。建立全行或区域内集中作业处理平台，持续完善数据中心与后台运营中心建设，梳理、组装业务活动，实现集中的流程化营运，提高信息实时性，统一风险管理，促进前中后台分离。构建差异化客户服务流程，在保证稳定性和性能的前提下，兼顾不同区域、不同条件下多种流程要求，支持在不同场景下采用不同业务流程、不同界面、不同处理模式的需求，提高对业务变化的适应能力。

─ 提升综合服务能力，适应银行战略发展要求。推进国际化发展战略的大中型银行机构，应制定中长期发展战略规划，抓住国家加快实施“走出去”战略机遇，以全球视野和创新思维推动国际化发展，努力构建国际先进、服务全球的核心应用系统，支持境内外实体、多语言环境、多时区服务，适应多监管体系、不同会计准则要求，满足多币种、多国情、多操作习惯的要求，支持人民币国际化，完善全球金融服务平台。建立境内外统一的客户数据模型与数据标准，支持客户信息共享与业务联动；提供全面、高效的数据服务，满足各地区监管数据加工、报送的内容要求和时效要求。加大境外机构电子渠道、自助渠道和物理网点的延伸支持，健全境外机构经营网络。制定清晰的战略规划，保障并购、收购银行核心应用系统的顺利整合，支持与各类混业经营业务应用系统的对接。

支持业务创新。核心应用系统建设要能够适应组织架构和业务流程变化，快速响应市场需求，支持渠道服务多元化和业务创新，支持外汇、远期结售汇、人民币掉期、利率市场化、人民币国际化等国内新业务领域创新。构建外汇资金一日多价交易平台，提高应对市场汇率波动带来的套汇等风险的能力。

支持综合经营与集团化发展。要完善风险管理和内部控制，建立防火墙，根据自身管理能力和经营业务复杂程度，积极稳妥推进综合经营试点，增强跨市场盈利能力。探索建立面向集团的信息科技体系架构，充分运用核心应用系统网络、渠道及服务资源，建立一体化产品营销和服务架构，开发跨市场、复合性的金融产品，满足客户“一站式”金融服务需求。在保障客户信息安全与合规管理前提下，探索建立集团统一客户视图，实现集团内客户信息共享、关联管理，实现客户统一评价和统一授信。逐步建立一体化的决策支持与管理经营分析系统，实现集团层面的经营分析和决策支持。逐步建设境外区域业务处理平台，推进境外业务中后台集约运营，提升境外机构业务拓展和客户服务能力。探索建立境外机构分控中心，提高境外机构集中监控、支持保障和统一生产调度管理能力。

 

第二节 加强内部管理系统建设，提高精细化管理水平

加强内部管理系统建设，推进管理流程优化，深化信息资源运用，提高经营决策管理水平。

─ 加大资金管理系统建设力度，提升清算资金管理水平。逐步构建清算资金管控平台，提高资金管控能力。对本外币的清算资金进行统一管理和监控，全面获取资金清算信息，构建有效的清算资金预测模型，建立高效、智能的资金调拨策略和机制，对大额资金实行系统硬性控制，提高清算资金使用效率。逐步建立和完善行内资金转移定价机制，推动资金内部转移自动定价，统一管理全行本外币资金，提高资金使用效率。

─ 推进内部管理系统建设，提升银行内部管理水平。完善内部资源管理系统建设，建立和完善覆盖境内外各级机构和从业人员的人力资源、财务费用、资产管理系统，支持多维度的财务资源投入产出分析及后评价体系，实现全行内部资源统一调配，支持规范、透明、精细化的流程管理，提高资源运用效率，提高财务风险控制能力，满足信息披露要求。充分考虑与国际接轨以及未来发展需要，提供灵活的会计科目体系和多币种、多会计准则、多会计主体以及并表支持。逐步实现预算及年终决算等功能与其他功能之间的松耦合，提高核心应用系统业务处理能力。

完善管理会计系统建设，加强管理决策支持。集成绩效考核理念、方法，实现对全行基础业绩指标的统一制定、发布和变更，建立机构、产品、员工等多个维度的业绩分成与还原机制，实现系统功能与管理应用的良性互动。加强对财务核算精细化管理的支持，推动系统深入应用，为银行成本分摊、资源和资本计划制订奠定基础。

─ 优化报表系统建设，提升经营决策水平。建立架构统一的报表系统，实现指标的统一管理，优化报表定制功能，优化报表引擎，提升图表展现效果，提高数据分析与展现能力，支持报表综合查询与分析，提高经营分析与决策水平，满足外部监管与信息披露要求。

--推进并表管理信息系统建设，提高集团层面风险管控能力。积极推进银行集团财务、资本以及风险的并表管理，将附属机构并表风险管理纳入全行风险管理体系；识别集团层面大额风险暴露和关联交易，提高风险管控能力；推进附属机构数据采集渠道建设，加强附属机构数据归集和数据质量管理，推进并表管理自动化水平。

 

第八章  加强风险管理基础设施建设，提升风险管理水平

“十二五”期间，大中型银行要根据新监管标准，按照“《新资本协议》与《第三版巴塞尔协议》同步推进，第一支柱与第二支柱统筹考虑”的总体要求，构建全面风险管理框架。要提高风险数据质量，建立全面、高效的风险数据管理环境。完善风险管理信息系统架构，建设统一的风险管理信息系统。加强风险管理信息应用，及时汇总集团层面并表风险敞口和流动性头寸，提高风险管理与资本配置效率，进一步强化资本与风险管理挂钩。

第一节 完善信用风险管理系统建设

规范模型开发验证流程，提升模型的准确性。优化零售、非零售内部评级模型，实现内部评级模型持续验证和优化，保障模型准确性和稳定性。建立内部评级的审计、监控体系，防范模型风险。

完善内部评级体系，加强风险计量成果应用。实现对客户、债项的二维评级，支持新资本协议风险参数及监管资本、经济资本计算，满足信息披露要求。加强信用风险管理与信贷业务融合，实现统一额度管理，实现对关联公司风险预警，充分利用内评法计量结果，完善行业、区域信贷政策，促进零售贷款审批自动化。根据风险特征与级别实施针对性营销和差异化催收策略。支持集中押品管理，体现动态押品管理流程，为违约损失率（LGD）计量、风险拨备、信息披露提供更精确的风险缓释数据。实施动态拨备制度，应对经济周期的波动风险。

建设组合管理系统，支持资产组合管理。充分考虑行业、地区、资产之间的相关性，建立信贷组合管理体系；开发、建立组合管理的工具、模型和方法，实现定量与定性相结合的主动组合管理；建立组合管理的缓释手段与工具，控制与缓释组合集中度风险。建立单一客户、集团客户、产品、行业、区域以及抵质押品的多维度集中度管理和监控体系；配合组合管理系统，降低集中度风险；为客户名单制度及行业、区域信贷政策以及抵质押品管理制度提供系统支持。

 

第二节 推进市场风险管理系统建设

支持金融市场业务前、中、后台管理职能分离和功能连贯，使业务人员的职责边界更为清晰。构建定价引擎、限额管理模块，实现前中后一体化系统建设，提高系统控制能力。为复杂金融产品的定价提供系统支持，提高定价模型的透明度和准确性；实现高级计量方法对交易对手风险敞口的计量；开发研制限额管理模块，对敞口、头寸等指标实现信息系统的硬控制，对外汇、贵金属、债券、票据等交易的综合额度实现违规行为的自动预警，兼顾各类风险计量和限额管理方法应用环境以及及时性、准确性要求。

推进内部模型法建设，提高覆盖率，提高计量水平。市场风险计量要覆盖境内外机构，在更广泛的金融市场产品范围内加以应用。优化VaR计量模型，完善回溯测试及压力测试功能，为实施市场风险内部模型法、有效配置经济资本提供系统支持，提升市场风险管理水平和自主创新能力。

 

第三节 加强操作风险管理系统建设

完善内外部操作风险数据的收集与管理，完善风险与控制自我评估（RCSA）、情景分析（SA）功能，提高关键风险指标（KRI）的自动化收集水平。有条件的银行可建立计量模型，实施操作风险高级计量法；加强计量结果的应用，生成及时、全面的操作风险管理报告。

完善反洗钱及黑名单检测系统。强化洗钱风险识别能力，提高可疑交易报告的情报价值；构建境内外统一的黑名单检测系统，提高黑名单检测能力，增强对不同语言环境的支持，提高系统灵活性。

提高违规、欺诈交易识别能力，在交易事前、事中、事后嵌入操作风险防控功能，利用数据挖掘分析工具识别内部操作违规行为、客户交易习惯和可疑行为模式；持续分析并优化监控规则，提高对内部柜员违规和外部客户欺诈交易的自动识别能力，持续推动业务流程改进；推进相关监控系统的境外延伸工作，不断提升银行业务操作风险防控能力。

 

第四节 推进资产负债管理信息化建设

提高利率风险管理水平，建立银行账户利率风险识别、监控、报告系统，逐步覆盖表内、表外以及境外分行的头寸，实现银行账户利率风险动态缺口分析、久期分析、情景模拟、动态压力测试、限额管理等功能。

提高流动性风险管理水平，支持现金流需求计划的制定，建立流动性风险测算模型，提高支撑数据的准确性和时效性，在全行层面合理进行流动性资产和负债配置。支持新增量化指标计算。

 

第五节 加强资本管理信息化建设

支持新资本协议下多种方法的资本充足率计算，支持不同方法下的风险加权资产计算，实现差异比较和分析；实现资本充足率端到端的自动计量；在合并层面统一计算资本充足率。提高经济资本在业务流程及内部管理中的运用，根据管理要求计算行业、业务产品、部门层级的经济资本分配，并将计算结果应用于产品营销、定价、授信、预算管理、资本管理、绩效管理等领域，使基于风险调整的绩效考核更为合理。支持新增、变化的监管指标要求。

 

第六节 建立信息披露和报告体系

建立全面的信息披露和报告体系，制定管理政策和制度，实现不同维度信息披露报表，全面、准确实现本行资本结构、风险暴露头寸、资本充足率等风险经营信息的收集、加工和披露，建立完整的报表体系；持续完善本行内部风险管理报告体系。

 

第七节 构建风险数据环境

 加大内部风险数据积累，提高数据质量。逐步建立统一的风险管理数据基础，全面覆盖新资本协议实施所需的业务数据，满足新资本协议实施对数据积累时间跨度的要求; 通过数据清理、补录、转换等手段，改善原系统历史数据质量，同时加大数据管控力度，确保原系统数据采集的完整性、准确性和一致性，为后续风险监测、计量、分析提供支持。

新的银行业监管标准要求重新界定资本及其最低要求，扩大监管资本对风险的覆盖范围，引入杠杆率、动态拨备、流动性等指标，提出逆周期资本监管要求，全面反映银行业金融机构面临的单体和系统性风险。各行要重视资产类、负债类数据的积累，满足监管要求新增指标的计算需要，加强源系统的数据标准化管理和质量控制，进一步提高银行信息系统与银行业监管信息系统之间数据对接的完整性、一致性、可追溯性。

积极探索和建立同业共享的外部欺诈信息库、操作风险损失数据库、客户信用数据库，丰富、完善欺诈监控规则，整体提高银行信用风险、操作风险管控水平。

第九章  发挥科技创新优势，促进电子银行全面发展

“十二五”期间，大中型银行电子银行建设应坚持创新与风险管理并举，业务模式创新与技术创新并重，以加快提高电子银行应用服务能力为重点，以电子银行助力提升中国银行业竞争力为目标，推进电子银行持续、稳定、快速、健康发展。

第一节 推进电子银行技术与业务模式创新，拓展金融服务渠道

─ 推进电子银行与新兴技术融合，深化技术应用。推进新兴技术在电子银行中的全面和纵深应用。一是积极推广手机银行应用。积极开发多种接入终端，加强手机的现场非接触式支付、远程支付等应用，发展移动金融增值服务，促进银行与运营商、设备提供商等产业链上下游企业合作。二是积极推进自助银行应用。运用视频会话、全触屏操作等多样化技术手段，提高人机交互体验，提高自助银行使用率。加强客户身份识别、远程监控和报警等技术研究，提升自助银行安全防护能力。三是促进电话银行发展。推进语音识别与合成技术、语音导航、自动语音服务、客户身份声纹识别等新型应用，提高传统语音服务能力与服务效率；发展CTI、IP及无线网络技术应用，推进传统语音网络与互联网技术的融合发展。四是深入应用WEB2.0技术，通过主动推送、即时通讯、多媒体等手段，持续增强银行与客户之间的互动能力；积极研究与SNS、微博等网络通讯新技术和网络生活新模式相结合的新型应用，创新新型业务营销服务模式，提高银行与客户联系紧密度。五是建立新技术跟踪研究机制，关注“三网融合”建设和智能家电、物联网、人工智能、虚拟现实等技术发展，探索电子银行在家居生活、贸易物流、虚拟网点等领域的新型应用。

─ 加强科技支撑，提升个人与公司金融服务水平。加强电子银行个人金融业务的支撑保障能力建设，建立灵活、可扩展的体系架构，加强开发平台和过程控制的标准化，实现应用快速开发和部署，支持不同渠道、不同地域特色业务需求。增强系统高容量、高并发能力，满足交易量快速增长要求。关注个人客户体验，建立客户财富管理平台、个人跨行资金管理平台等新一代个人财富管理平台；统一客户信息管理与身份认证，提供全视图的电子银行客户服务；加强客户信息收集，优化功能配置、提高操作便利度，提升客户满意度。

全面提升电子银行对企业客户服务支持能力，提供定制化服务，在供应链金融、全球现金管理、海外金融服务、投资理财等现代金融领域全面支持公司金融业务的创新。一是积极建立支持电子供应链金融的技术平台，加强与电子商务平台、物流系统、仓储系统等行业系统对接和流程电子化处理，实现信息流、物资流和资金流整合，优化业务流程。在融资产品创新过程中，加强电子化票据应用，建立高效的结算及融资处理模式，提高产业链金融业务处理效率和社会服务效率。二是打造支持多币种的全球现金管理平台，建立跨国企业全球账户体系，为跨国企业提供境内外银行本外币账户统一管理服务和账户、现金流报告。加强全球收付款管理，支持跨国企业多样化收付款模式。建立现金池，完善企业内部资金额度控制和资金定价等功能，提高企业资金使用效率。为企业提供智能化投资服务，提升企业的资金运营和收益能力，建立参数化定制的流程管理模式，满足企业内部对资金额度控制、资金定价和业务管理的多样化需求。三是进一步完善网上银行与企业财务系统、ERP系统的直联对接，统一数据标准和接口，支持企业一体化系统运作和数据共享，支持企业对资金集中管控与决策，提升企业资金运营和收益能力。

─ 完善电子银行金融服务平台，加大电子商务全流程的支持力度。优化、完善电子银行在线支付平台，支持电子商务发展。拓展电子商务平台功能，支持客户对非金融产品的需求，完善客户服务体系，提高客户忠诚度，拓展中间业务，实现收入的多元化。提供金融服务及增值服务平台，如具备交易撮合、信用中介、在线融资等功能B2B平台，通过对产业链、贸易链的介入加强银行与电子商务的融合，积极支持向新兴业务领域拓展。探索建立金融投资电子商务平台，为企业投资者提供投资产品信息，提供多样化、自动化的结算方式和工具，支持公司电子商务应用，加强产品营销支持。

─ 加强标准规范建设，推动银行卡产业升级。推进银行卡行业标准与规范建设，促进银行卡业务从单一功能、接触式界面、磁条卡向复合多应用、非接触式界面、IC卡方向发展。推进受理机具和设备改造、升级和投放，进一步规范银行卡受理环境建设。优化应用环境，开展广泛深入合作，加强银行卡在公共事业领域的支持服务力度。

 

第二节 推进电子渠道整合，促进电子银行服务多元化发展

─ 推进电子渠道应用整合，加强协同联动。加大电子银行资源整合力度，推进电子银行各渠道在技术平台、业务流程、服务资源等各方面的集约化建设，提升渠道间的交叉销售及协同服务能力。建立渠道间互联互通机制，加强信息、流程整合，实现渠道统一接入和客户、交易信息统一存取，建立集成的消息处理平台，加强业务参数统一配置管理，推进电子银行业务流程优化和渠道协同；加强电子银行集中运营管理，积极开展电子银行集约化、精细化运营体系建设，建立支持多渠道的集中式呼叫中心，整合客户服务资源，支持电子银行从产品交易向营销与综合服务的多元化服务模式转型。

─ 丰富客户接触手段、增强互动，促进电子银行服务模式向多元化发展。依托客户识别技术、数据分析与挖掘技术促进对客户的差异化营销服务。推进电子银行客户信息资料整合，加强客户身份识别技术在电子渠道中的应用，加强渠道与客户关系系统的互动。应用商业智能技术，促进产品与客户互动，建立客户偏好模型，为电子银行营销服务奠定基础。

依托互联网、手机、网络社区、微博等多种接触渠道，建立虚拟客户关系维护体系，支持客户自助服务和银行主动服务的多元服务模式，提高营销能力。整合客户接触服务平台网络，积极利用多媒体、通信等手段提高产品主动推送能力，提升银行产品对客户的黏度；加强与媒体、通信运营商、网络服务提供商等协作，拓展电子银行市场，推进交叉服务。

 

第三节 深化风险防控，健全电子银行安全保障体系

─ 统筹推进业务与技术安全协作，加强电子银行风险管理体系建设。进一步加强电子银行风险管理体系建设，构建包含业务风险管理和安全技术架构的电子银行整体安全体系框架，统筹推进业务与技术跨部门安全协作机制建设，建立涵盖电子银行交易控制、业务操作、安全认证、欺诈处置等各环节的风险管理体系，加强风险监控，完善应急处置方案，定期开展应急演练。

加强电子银行风险评估体系建设，建立电子银行业务流程、应用系统、操作规程、管理规则的常态化风险评估与改进机制，主动发现问题，持续提升风险防范能力。加强电子银行应用软件的常态化安全评估和测试，在软件生命周期管理中引入安全软件开发方法，强化软件安全性测试，建立应用安全管理基线，重点关注软件投产、变更过程的安全测试和安全性检查，推动电子银行应用安全的持续改进。

─ 持续加强电子银行全流程风险控制，构建电子银行立体化防控体系。以电子银行业务流程为主线，继续完善和优化电子银行事前、事中、事后全流程的风险防控机制。重点加强对网上银行、手机银行等客户端环境保护，积极采用主动防护技术，加快完善多因素、多渠道的交易认证体系，加强交易全程监控和客户敏感信息保护。充分运用业务和技术方法，加强交易过程中的风险控制，优化网上交易风险账户管理机制，根据网上商户经营性质、风险等级、发案率等实现对网上商户交易的动态分级管理，建立和完善网上商户分类管理机制，通过风险账户识别、资金限额、频度管理、双通道确认等手段有效控制风险。

加强电子银行风险事件事后跟踪，分析风险案件交易特征，及时发现新的作案手法，有针对性研究和部署防控措施。有条件的银行应建立电子银行风险管理平台，采集电子银行交易数据，部署风险管理模型，利用数据挖掘分析工具识别客户交易习惯和可疑行为模式，并将风险评估结果及时反馈到交易系统中，支持实时或准实时的交易欺诈识别。

整合各渠道、各环节的风险控制点，充分运用业务与技术方法，加强对电子银行各渠道风险的集中监控和控制，逐步实现风险控制信息跨系统、跨渠道的共享和联动。

─ 深入开展安全技术研究，加强外部协作。积极推进与公安机关及各级主管部门沟通协作，与专业安全机构开展合作，充分利用社会资源强化电子银行风险管理。推进银行间协作机制建设，加强信息与资源共享，加强应急协作，提高银行业整体风险防控能力。加强客户端安全保护和客户教育，通过物理网点、自助银行和网站等多渠道向客户进行安全提示。

积极开展安全新技术研究和运用，构建电子银行主动安全防护体系。密切跟踪网络安全形势，采取积极措施应对新出现的攻击手段，深化对基础平台技术的研究和运用，推动相关防护手段的研究和技术准备，有效控制伪造或篡改交易、以及任何试图绕开电子银行安全控制手段的行为。加强对终端和平台技术发展的安全研究，促进智能手机平台、新型智能卡、新的生物识别认证手段等新型交易手段的运用，提高电子银行交易安全性和使用便利性；关注三网融合、物联网、云计算对电子银行业务发展的影响，积极开展技术分析和研究工作。

─ 健全银行卡安全防控体系，营造银行卡安全支付环境。深化磁条卡风险防控机制建设，推进和规范加密技术在制卡、受理、联机交易等各环节的全面应用，加强银行内部密钥管理、人员管理和信息安全管理。加强银行卡在各类受理终端交易过程中的管理措施，建立银行卡受理商户非现场监控和现场检查制度，建立商户交易数据库和监控系统，设置可疑交易监控和分析指标，提高现场检查频率，严格对高风险商户的交易授权管理。

推动国产银行卡信息安全技术的运用，充分利用身份认证、数字加密和签名技术提高银行卡网络安全性能和数据通信安全水平。加强银行卡外围硬件环境的安全保障，及时检测、弥补系统的软硬件漏洞，采取有效手段防范攻击和病毒破坏。

推进银行卡风险识别、评估、计量、预警和处置的电子化、自动化、系统化建设。加强欺诈侦测系统建设，完善交易风险监控机制，实现对银行卡账户信息的实时监测，将风险控制关口前移。加强对银行卡的行为分析研究，在风险信息分析的基础上，逐步建立基于数据分析的风险预测模型。

 

第十章  建立数据治理机制，推进数据标准化和质量建设

“十二五”期间，大中型银行要把数据治理作为重要的制度性建设与基础性工作，加强组织保障、制度保障与流程保障，有序推进、重点强化；统一数据标准，提高数据质量，深化数据应用，有效支撑银行业务发展，有效提升银行管理水平。

第一节 提高认识，建立数据治理体系

充分认识数据在支持经营决策、内部管理与金融服务中的核心价值和战略意义，切实提高对数据价值和数据治理的认识，大力开展数据治理工作。建立健全“决策、管理、执行”三层数据治理组织架构，设立由银行高级管理层负责、有关部门负责人参与的数据治理决策机构，负责数据治理日常决策，协调跨部门协作。明确职能部门统筹全行数据治理工作，加强对各部门数据治理工作监督考核。要建立数据责任人体系，明确数据定义、录入、使用部门和信息科技部门工作职责分工，在各主要部门设置数据治理工作岗位。要在全行层面统筹管理数据需求、数据标准规范，加强数据采集与使用过程的规范化、标准化。加强采集源头的数据质量管理；在分支机构建立相应组织体系，贯彻落实数据治理政策和制度。

建立和完善数据治理制度体系，规范工作流程，理顺内部协作关系，建立和完善数据治理决策程序，逐步形成透明高效的决策机制。逐步建立数据治理的评价、考核机制。

 

第二节 加快数据标准建设，统一数据规范

推进行业数据基础标准框架规划与标准建设。针对新资本协议实施，以及银行间、行业间等基础性强、关注度高的重点领域关键数据项和统计指标项，积极推进数据标准建设。加强行业数据标准在各行信息系统建设中的落地实施，进一步提高银行信息系统与行业监管信息系统之间数据对接的准确性、一致性。积极制定和完善企业级数据标准，指导、规范业务操作和系统建设，建立完善数据标准的需求响应、制定、评审、发布、应用等管理程序，建立数据标准评审与评价反馈机制，保障数据标准应用效果。

 

第三节 加强数据全生命周期管理，提高数据质量

加快建立数据质量管理机制，进一步完善管理流程，明确数据管理、定义、录入、使用部门和信息科技部门等各方的质量管控职责，逐步建立日常监督管理的长效机制，保障数据质量的持续提升。要着力加强数据需求统筹管理，建立数据需求管理程序，进一步完善和优化数据应用和系统开发流程，严格数据需求管理，从源头解决数据“孤岛”问题。大力开展数据综合治理工作，全面梳理现有数据情况，分析质量问题，制定改进计划，先行推进新资本协议实施等重点业务专题与基础数据领域工作；改善基础数据质量，提高数据一致性、准确性及自动采集率。积极利用技术手段，探索建立集中、统一的数据质量管理平台，加强数据质量管理支持系统建设，提高自动化管理水平，提高质量管理效率。

 

第四节 优化数据架构，推动数据信息逻辑整合

积极开展数据架构规划，对信息模型、主辅数据源以及数据集成架构等内容进行前瞻性设计，制定数据生命周期管理规范，提升数据服务能力。加强主数据管理，形成包括客户、产品、机构等核心基础数据的统一视图。加强元数据管理和应用，制定元数据管理策略、标准、流程，建立统一的元数据管理与传输机制，将元数据管理与系统开发、运维与数据架构管控等流程结合起来，保证元数据的有效性和准确性。

不断丰富前台源系统的基础数据，持续加大数据积累与整合的广度和深度，建设统一的数据平台，满足前台营销、统计分析和决策支持、风险管理和新资本协议实施等多种需求，持续提升对数据的分析、挖掘能力与深度运用能力。

 

 

 

 

中国银行业信息科技“十二五”发展规划监管指导意见之农村金融机构篇

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

中国银行业监督管理委员会

二○一一年六月