銀行上云白皮書(shū)

銀行上云白皮書(shū)前言前言近年來(lái)，隨著我國(guó)國(guó)民經(jīng)濟(jì)的持續(xù)健康發(fā)展，中小企業(yè)融資需求和新農(nóng)村建設(shè)需要的不斷增強(qiáng)，銀行紛紛成立，為地方經(jīng)濟(jì)建設(shè)提供了強(qiáng)有力的金融支持。與此同時(shí)，銀行自身信息化建設(shè)能力面臨很大挑戰(zhàn)，在資金和人員有限的情況下，在風(fēng)險(xiǎn)必須可控的前提下，又快又好地建設(shè)銀行業(yè)務(wù)全系統(tǒng)和基礎(chǔ)設(shè)施成為銀行發(fā)展亟需解決的掣肘。目錄1.云算在融業(yè)現(xiàn)狀 1云算介 1云算義 1云算署型 1云算務(wù)式 2云算務(wù)與者 3云算展況 4云算場(chǎng)況 4（1）全云算場(chǎng)況 4（2）我云算場(chǎng)況 4我云算策境 6（1）云算觀策況 6（2）金行云算政策況 6云算金行用情況 7（1云算速融業(yè)互聯(lián)發(fā)展 7（2）金行云算模型 7（3）金行上情況 8銀行選云算意義 9銀行范疇 9銀行信科發(fā)瓶頸 9業(yè)要高 9人財(cái)短板 10運(yùn)管難大 10行云效力轉(zhuǎn)型 11運(yùn)成考慮 11監(jiān)合考慮 11業(yè)賦考慮 123.銀行云策架 134.銀行云準(zhǔn)備 14確上優(yōu)級(jí)可性方案 14優(yōu)級(jí)定則 14優(yōu)級(jí)議可方案 15（1）最優(yōu)級(jí) 16（2）次先級(jí) 16（3）中先級(jí) 16（4）低先級(jí) 18選合的服商 205.銀行云施 21服合制和署 21服方設(shè)和試 21方設(shè)計(jì) 21方測(cè)試 22服交付 23交方案 23交實(shí)施 23交評(píng)估 236.銀行云管理 23服質(zhì)監(jiān)管理 23風(fēng)管理 24責(zé)分模型 24自風(fēng)管理三防線(xiàn)” 26對(duì)服商險(xiǎn)要求 26變和出 27服變更 27服退出 27附錄銀行上典案例 291.哈市商銀上例 292.南村鎮(zhèn)行云例 31PAGEPAGE181.云計(jì)算在金融行業(yè)應(yīng)用現(xiàn)狀云計(jì)算（CloudComputing）2006GoogleCEOEricSchmidt之口，自亞馬遜推出彈性計(jì)算云服務(wù)之后被廣泛傳播，最終成為定義當(dāng)前信息技IS/IEC標(biāo)準(zhǔn)化組織在4年發(fā)布的《dctg-Ovvwvocabulary》中給出了云計(jì)算的定義：云計(jì)算是一種以網(wǎng)絡(luò)方式接入到一個(gè)可擴(kuò)展、彈性的共享物理或虛擬資源池的服務(wù)模式，用戶(hù)可以通過(guò)自服務(wù)和管理的方（根據(jù)使用云計(jì)算平臺(tái)用戶(hù)范圍的不同，云資源歸屬和控制方的不同，一般將云計(jì)算分成私有云、公有云、行業(yè)云（社區(qū)云）和混合云等四種部署模型：（1）公有云。云服務(wù)可被任意云服務(wù)客戶(hù)使用，且資源被云服務(wù)提供者控制的一種云部署模型。公有云可由企業(yè)、研究機(jī)構(gòu)、政府組織，或幾者聯(lián)合擁有、管理和運(yùn)營(yíng)。公有云在云服務(wù)提供者的場(chǎng)內(nèi)。一般情況下，公有云對(duì)參與方?jīng)]有限制。（2）私有云。云服務(wù)僅被一個(gè)云服務(wù)客戶(hù)使用，且資源被該云服務(wù)客戶(hù)控制的一類(lèi)云部署模型。私有云可由云服務(wù)客戶(hù)自身或第三方擁有、管理和運(yùn)營(yíng)。私有云可在云服務(wù)客戶(hù)的場(chǎng)內(nèi)或場(chǎng)外。云服務(wù)客戶(hù)出于自身利益考慮，還可為其他參與方授權(quán)訪(fǎng)問(wèn)。一般情況下，私有云的客戶(hù)只局限于某個(gè)組織。（3）行業(yè)云（社區(qū)云。云服務(wù)僅由一組特定的云服務(wù)客戶(hù)使用和共享的一種云部署模型。這組云服務(wù)客戶(hù)的需求共享，彼此相關(guān)，且資源由組內(nèi)云服務(wù)客戶(hù)控制或云服務(wù)提供商控制。社區(qū)云可由社區(qū)里的一個(gè)或多個(gè)組織、第三方、或兩者聯(lián)合擁有、管理和運(yùn)營(yíng)。社區(qū)云可在云服務(wù)客戶(hù)的場(chǎng)內(nèi)或場(chǎng)外。行業(yè)云局限于有共同關(guān)注點(diǎn)的行業(yè)內(nèi)客戶(hù)，這些共同關(guān)注點(diǎn)包括但不限于：業(yè)務(wù)需求、安全需求、政策符合性考慮等。（4）混合云。至少包含以上兩種不同云計(jì)算部署模型。（社區(qū)云（S在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件。用戶(hù)不需要購(gòu)買(mǎi)、開(kāi)發(fā)軟件，可利用不同設(shè)備上的用戶(hù)端（如WEB瀏覽器）或程序接口通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)和使用云服務(wù)商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等。用戶(hù)通常不能管理或控制支撐應(yīng)用軟件運(yùn)行的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但可對(duì)應(yīng)用軟件進(jìn)行有限的配置管理。（S在云基礎(chǔ)設(shè)施之上的軟件開(kāi)發(fā)和運(yùn)行平臺(tái)，如：標(biāo)準(zhǔn)語(yǔ)言與工具、數(shù)據(jù)訪(fǎng)問(wèn)、通用接口等。用戶(hù)可利用該平臺(tái)開(kāi)發(fā)和部署自己的軟件。用戶(hù)通常不能管理或控制支撐平臺(tái)運(yùn)行所需的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但可對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置，控制自己部署的應(yīng)用。（（ISIS算機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等計(jì)算資源，提供訪(fǎng)問(wèn)云基礎(chǔ)設(shè)施的服務(wù)接口。用戶(hù)可在這些資源上部署或運(yùn)行操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)和應(yīng)用軟件等。用戶(hù)通常不能管理或控制云基礎(chǔ)設(shè)施，但能控制自己部署的操作系統(tǒng)、存儲(chǔ)和應(yīng)用，也能部分控制使用的網(wǎng)絡(luò)組件。云計(jì)算服務(wù)的參與者可以分為：用戶(hù)、云服務(wù)商、審計(jì)者、云服務(wù)代理和網(wǎng)絡(luò)運(yùn)營(yíng)商。（1）用戶(hù)：即云計(jì)算資源消費(fèi)者，使用云服務(wù)商提供的云服務(wù)。（2）云服務(wù)商：向用戶(hù)提供可用的云計(jì)算服務(wù)的組織或?qū)嶓w。（3）審計(jì)者：能夠?qū)υ朴?jì)算服務(wù)及云計(jì)算實(shí)例的信息系統(tǒng)操作、能和安全性進(jìn)行中立評(píng)估的機(jī)構(gòu)或?qū)嶓w。（4）云服務(wù)代理：管理云計(jì)算服務(wù)的使用、性能以及交付的實(shí)體，它能夠協(xié)調(diào)云服務(wù)商和用戶(hù)之間關(guān)系。（5）網(wǎng)絡(luò)運(yùn)營(yíng)商：為云服務(wù)商提供鏈接和傳輸網(wǎng)絡(luò)資源的實(shí)體。1數(shù)據(jù)來(lái)源：Gartner61數(shù)據(jù)來(lái)源：Gartner6年以IPS和S.8.0.。（2）我國(guó)云計(jì)算市場(chǎng)情況我國(guó)云計(jì)算市場(chǎng)總體保持高速增長(zhǎng)趨勢(shì)。根據(jù)中國(guó)信息通信研究院的《中國(guó)（2017年（2017年》統(tǒng)69..152017-20202020.618.，預(yù)計(jì)7.5圖2中國(guó)公有云市場(chǎng)規(guī)模及增速（單位：億元人民幣）圖3中國(guó)私有云市場(chǎng)規(guī)模及增速（單位：億元人民幣）1此處私有云統(tǒng)計(jì)口徑為傳統(tǒng)私有云定義（1）云計(jì)算宏觀政策情況支持云計(jì)算發(fā)展的政策相繼出臺(tái)，政策環(huán)境持續(xù)利好。近年來(lái)，國(guó)內(nèi)云計(jì)算發(fā)展政策集中出臺(tái)，我國(guó)云計(jì)算產(chǎn)業(yè)發(fā)展、行業(yè)推廣、應(yīng)用基礎(chǔ)等重要環(huán)節(jié)的宏觀政策環(huán)境已經(jīng)基本形成。國(guó)家層面相繼出臺(tái)以下政策：20151國(guó)發(fā)〔20155）201552015720158（國(guó)發(fā)(2015)50）20173（2017-2019》（2）金融行業(yè)云計(jì)算相關(guān)政策情況同時(shí)，金融行業(yè)對(duì)云計(jì)算發(fā)展的政策環(huán)境也在逐步完善中。（征求意見(jiàn)稿）支持金融行業(yè)行業(yè)云。除了金融私有云之外，提出“行業(yè)公共云”模型，支持建立符合法律法規(guī)要求、市場(chǎng)化運(yùn)作、具備金融級(jí)安全等級(jí)的行業(yè)云平臺(tái)運(yùn)營(yíng)機(jī)制。（1）云計(jì)算加速金融行業(yè)“互聯(lián)網(wǎng)+”發(fā)展IT大大縮短應(yīng)用部署時(shí)間、實(shí)現(xiàn)故障自動(dòng)檢測(cè)定位以及業(yè)務(wù)升級(jí)不中斷，從而更好（2）金融行業(yè)云計(jì)算部署模型國(guó)內(nèi)傳統(tǒng)金融機(jī)構(gòu)使用云計(jì)算技術(shù)主要采用有私有云和行業(yè)云兩種部署模型。金融行業(yè)按照業(yè)務(wù)又可以細(xì)分為銀行業(yè)、證券業(yè)、保險(xiǎn)行業(yè)、互聯(lián)網(wǎng)金融等子市場(chǎng)。對(duì)于傳統(tǒng)的金融機(jī)構(gòu)，尤其是銀行業(yè)主要采用私有云和行業(yè)云的方式，這與金融機(jī)構(gòu)部署私有云主要用于存儲(chǔ)、運(yùn)行重要業(yè)務(wù)系統(tǒng)，存儲(chǔ)敏感數(shù)據(jù)，一般采用自建基礎(chǔ)設(shè)施、購(gòu)買(mǎi)硬件產(chǎn)品和解決方案的方式搭建，在生產(chǎn)過(guò)程中實(shí)施外包駐場(chǎng)運(yùn)維、自主運(yùn)維。源等方面的共享，在金融行業(yè)內(nèi)形成公共基礎(chǔ)設(shè)施、公共接口、公共應(yīng)用等一批技術(shù)公共服務(wù)。金融機(jī)構(gòu)部署行業(yè)云主要用于對(duì)金融機(jī)構(gòu)外部客戶(hù)的數(shù)據(jù)處理、服務(wù)，或?yàn)橐欢▍^(qū)域內(nèi)金融機(jī)構(gòu)、金融機(jī)構(gòu)垂直機(jī)構(gòu)提供資源共享服務(wù)。（3）金融行業(yè)上云情況互聯(lián)網(wǎng)金融和輔助性業(yè)務(wù)系統(tǒng)較多首先上云。目前，金融機(jī)構(gòu)使用云計(jì)算技系統(tǒng)和經(jīng)營(yíng)管理等輔助性系統(tǒng)嘗試使用云計(jì)算，從而提升系統(tǒng)管理的靈活性，降P2P、消費(fèi)金融等相關(guān)業(yè)務(wù)，由于其系統(tǒng)需要新建，歷史包袱相對(duì)較輕，并且天然的互圖4金融機(jī)構(gòu)上云系統(tǒng)情況不同類(lèi)型的金融機(jī)構(gòu)對(duì)云計(jì)算的應(yīng)用路徑也存在較大差異，不能一概而論。比如大型銀行由于傳統(tǒng)信息化基礎(chǔ)設(shè)施投入大、有專(zhuān)職技術(shù)部門(mén)、安全要求更加謹(jǐn)慎等原因，一般選擇沿用采購(gòu)軟硬件產(chǎn)品自行搭建私有云并獨(dú)立運(yùn)維，而銀行由于“缺錢(qián)少人”等原因一般不會(huì)選擇私有云部署模型，更傾向選擇行業(yè)云。銀行是現(xiàn)代化金融發(fā)展歷程中重要的一類(lèi)金融機(jī)構(gòu)，其具有相同或類(lèi)似業(yè)務(wù)需求和政策特性，本白皮書(shū)將著重聚焦銀行上云，重點(diǎn)分析銀行上銀行選擇云計(jì)算的意義2業(yè)務(wù)壓力大，信息化建設(shè)能力不足。銀行是一個(gè)嚴(yán)格意義上的銀行，擁有全牌照，有權(quán)進(jìn)行全業(yè)務(wù)拓展，經(jīng)過(guò)監(jiān)管機(jī)構(gòu)審批后，可以開(kāi)展銀行卡業(yè)務(wù)、網(wǎng)上銀行業(yè)務(wù)和國(guó)際業(yè)務(wù)等。銀行為提升自身市場(chǎng)競(jìng)爭(zhēng)能力，需持續(xù)進(jìn)行新業(yè)務(wù)系統(tǒng)的研發(fā)和建設(shè)，這對(duì)銀行信息化建設(shè)能力帶來(lái)較大的挑戰(zhàn)。2引用《銀行信息系統(tǒng)托管維護(hù)服務(wù)規(guī)范》GB/T0140-2017中關(guān)于銀行的定義“缺錢(qián)少人”是銀行發(fā)展信息科技的最主要瓶頸。與經(jīng)濟(jì)實(shí)力雄厚的國(guó)有四大銀行以及各大股份制銀行相比，缺錢(qián)少人的銀行在信息化建設(shè)上常常感到力不從心。由于資金短缺和人才匱乏，這就使得很多銀行在業(yè)務(wù)的拓展和創(chuàng)新上受到嚴(yán)重制約。圖5大型銀行與銀行科技投入對(duì)比（數(shù)據(jù)來(lái)源：麥肯錫）系統(tǒng)運(yùn)維和信息管理工作相對(duì)復(fù)雜，難以應(yīng)對(duì)。即使銀行的信息化建設(shè)能夠跟的上業(yè)務(wù)發(fā)展的需求，隨著業(yè)務(wù)的創(chuàng)新和拓展，金融服務(wù)能力要求會(huì)越來(lái)越高，信息系統(tǒng)數(shù)量會(huì)越來(lái)越多，復(fù)雜程度也越來(lái)越高，管理和整合的難度自然也就也越來(lái)越大。隨著風(fēng)險(xiǎn)管理的全面展開(kāi)及深入，加上信息化建設(shè)自身在發(fā)展過(guò)程中所凸顯的風(fēng)險(xiǎn)，以及信息安全等諸多因素的影響，勢(shì)必造成管理難度越來(lái)越大，風(fēng)險(xiǎn)暴露越來(lái)越明顯。IT銀行面對(duì)較為嚴(yán)格的監(jiān)管合規(guī)要求，在云服務(wù)部署模型選擇上必須慎重考慮。行業(yè)云可以滿(mǎn)足監(jiān)管的要求，普通公有云往往難以滿(mǎn)足監(jiān)管要求。部分銀行業(yè)監(jiān)管要求規(guī)范如下：J/T1—4 J/T4—8 J/T0—7 （銀發(fā)〔2010〕276）2009〕19）銀監(jiān)發(fā)〔2010〕114）（2011〕104）（20135）不同云計(jì)算部署模型對(duì)于業(yè)務(wù)本身的提升效果也存在區(qū)別，行業(yè)云優(yōu)勢(shì)較為明顯。一方面，面向金融行業(yè)的行業(yè)云業(yè)務(wù)產(chǎn)品更加有針對(duì)性，能夠有為金融業(yè)務(wù)定制資源配比、針對(duì)市場(chǎng)需求優(yōu)化金融類(lèi)產(chǎn)品和服務(wù)。另一方面，業(yè)務(wù)部署周IT圖6銀行選擇云服務(wù)部署模型雷達(dá)圖(來(lái)源:中國(guó)信息通信研究院)如上圖所示，綜合上述考慮，行業(yè)云在在運(yùn)營(yíng)成本、監(jiān)管合規(guī)和業(yè)務(wù)賦能三方面均表現(xiàn)較好，在本白皮書(shū)中，我們推薦“金融行業(yè)云”作為普通銀行的上云首選部署模型，后文中關(guān)于銀行的上云分析均默認(rèn)為行業(yè)云部署模型。3.銀行上云決策框架ITIT品化的計(jì)算資源和服務(wù)。這種全新的思維方式對(duì)整個(gè)IT服務(wù)的生命周期都產(chǎn)生了重大影響。本白皮書(shū)提出了銀行上云的決策框架，從上云前準(zhǔn)備、上云實(shí)施到上云后管理三個(gè)流程提出決策建議。供計(jì)劃實(shí)施的有關(guān)單位參考。表1銀行上云決策框架上云前準(zhǔn)備上云實(shí)施上云后管理確定上云優(yōu)先級(jí)和可行性方案選擇合適的云服務(wù)商服務(wù)合同制定和簽署服務(wù)方案設(shè)計(jì)和測(cè)試服務(wù)交付服務(wù)質(zhì)量監(jiān)督管理風(fēng)險(xiǎn)管理變更和退出4.銀行上云前準(zhǔn)備確定上云優(yōu)先級(jí)是銀行上云的第一步工作，也是最重要的工作。銀行IT將適合云化部署且準(zhǔn)備比較充分的服務(wù)置于首選地位，以使上云帶來(lái)的收益最大化、成本最小化。銀行因資產(chǎn)規(guī)模區(qū)別，業(yè)務(wù)系統(tǒng)種類(lèi)和數(shù)量一般也存在較大差異，資產(chǎn)規(guī)模較大的股份制商業(yè)銀行和城市商業(yè)銀行業(yè)務(wù)系統(tǒng)通常比較豐富，而銀行中資產(chǎn)規(guī)模最小的村鎮(zhèn)銀行因盈利能力較弱，系統(tǒng)較少?？傮w來(lái)說(shuō)，銀行業(yè)信息最高優(yōu)先次高優(yōu)先中優(yōu)先最高優(yōu)先次高優(yōu)先中優(yōu)先低優(yōu)先圖7銀行業(yè)信息系統(tǒng)成本收益比、安全保護(hù)要求、監(jiān)管機(jī)構(gòu)管理要求、應(yīng)用系統(tǒng)上云難度是確定業(yè)務(wù)系統(tǒng)上云優(yōu)先級(jí)的主要考量因素。通常來(lái)說(shuō)，確定上云優(yōu)先級(jí)有幾個(gè)參考原則。一是對(duì)于需新部署的業(yè)務(wù)系統(tǒng)，且云服務(wù)商已有與之相對(duì)應(yīng)的比較成熟的業(yè)務(wù)，從價(jià)值收益的角度建議不分業(yè)務(wù)類(lèi)型，都首選云服務(wù)；二是已有信息化系統(tǒng)，上云后價(jià)值效益明顯的，也建議盡快上云，尤其像訪(fǎng)問(wèn)流量有突發(fā)變化特征或?qū)?shù)據(jù)融合處理有較高要求的系統(tǒng)，上云后能夠帶來(lái)明顯的效益提升;三是對(duì)于已有信息化系統(tǒng)，按照非核心系統(tǒng)和核心系統(tǒng)的區(qū)分確定優(yōu)先級(jí)，先上非核心系統(tǒng)，后上核心系統(tǒng)。如前文所述，對(duì)于新開(kāi)業(yè)的銀行或銀行需要新開(kāi)發(fā)部署業(yè)務(wù)系統(tǒng)，建議直接采用云計(jì)算部署架構(gòu)，根據(jù)業(yè)務(wù)需求逐步部署業(yè)務(wù)系統(tǒng)。下文重點(diǎn)分析銀行已有信息化系統(tǒng)遷移上云應(yīng)如何確定優(yōu)先級(jí)。綜合成本收益比、安全保護(hù)要求、監(jiān)管機(jī)構(gòu)管理要求、應(yīng)用系統(tǒng)上云難度等多方面考慮，本白皮書(shū)給出銀行業(yè)務(wù)系統(tǒng)遷移上云的優(yōu)先級(jí)推薦建議，圖7中綠色、黃色、橙色、紅色代表各類(lèi)系統(tǒng)上云優(yōu)先級(jí)從高至低，分別為：最高優(yōu)（（（（有所調(diào)整策略。（1）最高優(yōu)先級(jí)7ISM”的（2）次優(yōu)先級(jí)7可行性方案：基礎(chǔ)服務(wù)類(lèi)應(yīng)用系統(tǒng)和非面向互聯(lián)網(wǎng)的服務(wù)類(lèi)應(yīng)用系統(tǒng)具有一定的上云改造要求，但是基本上只是接口模式或者數(shù)據(jù)對(duì)接類(lèi)的改造，應(yīng)用架構(gòu)沒(méi)有太大改變。（3）中優(yōu)先級(jí)圖7中橙色系統(tǒng)，是面向互聯(lián)網(wǎng)服務(wù)類(lèi)的應(yīng)用系統(tǒng)、渠道類(lèi)應(yīng)用系統(tǒng)以及部A/POS可行性方案：此類(lèi)信息在上云改造時(shí)要考慮分布式架構(gòu)改造、分布式存儲(chǔ)的選擇、SaaS多租戶(hù)模式改造和信息安全問(wèn)題四個(gè)方面。X86X86Web的Hadoop/MPPOLTPSaaSSLA保證、信息安全此類(lèi)信息系統(tǒng)的原有安全要求已經(jīng)比較高，公安部具有三級(jí)等保的要求，銀監(jiān)會(huì)有每年的安全風(fēng)險(xiǎn)檢查和安全風(fēng)險(xiǎn)評(píng)估要求，人民銀行有渠道類(lèi)系統(tǒng)的上線(xiàn)檢查要求等。即使上云后，云服務(wù)提供商或者銀行自建的云服務(wù)系統(tǒng)均應(yīng)滿(mǎn)足其對(duì)應(yīng)的監(jiān)管要求。另外，共享資源池可能引起的全局故障、多租戶(hù)環(huán)境的安全隔離不完全、多系統(tǒng)共存和資源池的動(dòng)態(tài)化導(dǎo)致的安全策略的復(fù)雜性、虛擬化技術(shù)帶來(lái)的新安全威脅和入侵點(diǎn)、虛擬機(jī)的剩余信息保護(hù)、虛擬資源內(nèi)部之間的安全管控等由上云導(dǎo)致的新問(wèn)題均應(yīng)充分考慮，可以參考可信云評(píng)估的要求在數(shù)據(jù)私密性、數(shù)據(jù)存儲(chǔ)持久性等方面達(dá)到相應(yīng)的要求。（4）低優(yōu)先級(jí)7IOEITSaaS多租戶(hù)中”模式；二是采用A（IT在改造過(guò)程中，可以考慮將原有的核心系統(tǒng)改造需求納入開(kāi)發(fā)范圍，以實(shí)現(xiàn)IT可控要求，最終實(shí)現(xiàn)科技引領(lǐng)業(yè)務(wù)轉(zhuǎn)型與發(fā)展的目標(biāo)。銀行在選擇云服務(wù)商時(shí)應(yīng)充分考慮云服務(wù)商的服務(wù)能力、穩(wěn)定性等風(fēng)險(xiǎn)，建立云服務(wù)商的準(zhǔn)入標(biāo)準(zhǔn)，不因引入云服務(wù)商而增加整體風(fēng)險(xiǎn)。銀行選擇云服務(wù)商應(yīng)遵循以下基本原則：（。（2）云服務(wù)商應(yīng)滿(mǎn)足監(jiān)管機(jī)構(gòu)的準(zhǔn)入要求。（3）銀行應(yīng)審查、評(píng)估候選云服務(wù)商的財(cái)務(wù)穩(wěn)定性和行業(yè)經(jīng)驗(yàn)，對(duì)候選云服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查其資源和能力是否足以承擔(dān)相應(yīng)的責(zé)任，防范引入高風(fēng)險(xiǎn)特性的云服務(wù)商。（4）銀行應(yīng)對(duì)重點(diǎn)云服務(wù)商開(kāi)展盡職調(diào)查，必要時(shí)可委托第三方評(píng)估機(jī)構(gòu)協(xié)助調(diào)查和評(píng)估，應(yīng)關(guān)注：——云服務(wù)商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等；——云服務(wù)商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具、數(shù)據(jù)管理和訪(fǎng)問(wèn)控制方面的能力等；——云服務(wù)商的持續(xù)經(jīng)營(yíng)狀況，包括但不限于：財(cái)務(wù)狀況、從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)等。5.銀行上云實(shí)施銀行需確保與云服務(wù)商簽訂規(guī)范的服務(wù)合同，將有助于提升服務(wù)質(zhì)量，（A重點(diǎn)關(guān)注云服務(wù)商的服務(wù)可用性、數(shù)據(jù)存儲(chǔ)持久性、資源調(diào)配能力、網(wǎng)絡(luò)接入能SLA中簽訂的能力要求在后續(xù)實(shí)施和管理過(guò)程中自行或委托第三方對(duì)云服務(wù)商進(jìn)行評(píng)估考核。云服務(wù)商應(yīng)依據(jù)云服務(wù)目標(biāo)和服務(wù)級(jí)別協(xié)議進(jìn)行云服務(wù)方案的設(shè)計(jì)，服務(wù)方案應(yīng)涉及與云服務(wù)相關(guān)的資源配備、人力配備和管理要求。管理要求應(yīng)涵蓋組織管理、范圍管理、質(zhì)量管理、溝通管理、時(shí)間管理、風(fēng)險(xiǎn)管理、財(cái)務(wù)預(yù)算管理、技術(shù)管理、文檔管理及其他資源管理，也應(yīng)涉及測(cè)試驗(yàn)證流程、技術(shù)實(shí)施流程、服務(wù)交付流程、日常維護(hù)流程、應(yīng)急處置與災(zāi)難恢復(fù)流程、驗(yàn)收考核流程等各個(gè)方面。需要特別強(qiáng)調(diào)的是，除上線(xiàn)新業(yè)務(wù)外，很大部分工作在于存量業(yè)務(wù)應(yīng)用的遷（工業(yè)和信息化部電信研究院B14421（checklistofcontractualissuesrelatingtocloudoputin》后撰寫(xiě)。移，如何有序、安全、便捷地進(jìn)行遷移，保證業(yè)務(wù)的可用性、安全性、連續(xù)性是4章第.1（1）業(yè)務(wù)系統(tǒng)遷移的優(yōu)先級(jí)及可行性方案;（2）相應(yīng)業(yè)務(wù)系統(tǒng)的資源使用規(guī)劃和架構(gòu)，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等;（3）相應(yīng)的業(yè)務(wù)系統(tǒng)的運(yùn)維管理模式，服務(wù)商和銀行的權(quán)責(zé)劃分等。云服務(wù)商在服務(wù)資源、人員和管理方面準(zhǔn)備就緒后應(yīng)測(cè)試并驗(yàn)證服務(wù)方案的完備性。測(cè)試和驗(yàn)證應(yīng)滿(mǎn)足以下要求：云服務(wù)商向銀行用戶(hù)提交詳細(xì)的服務(wù)交付方案，包括服務(wù)交付時(shí)間、交付方式、交付人員、交付技術(shù)手段、交付文檔、交付培訓(xùn)、交付驗(yàn)收標(biāo)準(zhǔn)和流程等，銀行用戶(hù)應(yīng)對(duì)服務(wù)交付方案進(jìn)行評(píng)審并與云服務(wù)商達(dá)成一致。銀行用戶(hù)應(yīng)對(duì)云服務(wù)商提交的服務(wù)管理計(jì)劃進(jìn)行評(píng)審，并在服務(wù)交付過(guò)服務(wù)交付完成后，云服務(wù)商應(yīng)向銀行提交服務(wù)交付報(bào)告，銀行可以組織第三方對(duì)遷移后的業(yè)務(wù)和云平臺(tái)進(jìn)行評(píng)估驗(yàn)收。詳細(xì)記錄服務(wù)交付的關(guān)鍵信息，如工作任務(wù)、所需資源、進(jìn)展?fàn)顟B(tài)、負(fù)責(zé)和參與人員、完成時(shí)間、存在的問(wèn)題、解決方案等，銀行應(yīng)組織相關(guān)人員對(duì)報(bào)告進(jìn)行評(píng)審，通過(guò)后上線(xiàn)。6.銀行上云后管理上云成功后，云計(jì)算廠商接受銀行用戶(hù)或受委托的第三方機(jī)構(gòu)對(duì)云服務(wù)銀行用戶(hù)管理云系統(tǒng)需要將云服務(wù)商、審計(jì)者和最終用戶(hù)都考慮進(jìn)來(lái)，將關(guān)注的側(cè)重點(diǎn)聚焦于服務(wù)而非資產(chǎn)。需要有效地管理云服務(wù)商的輸出過(guò)程(例如IT,圖8銀行用戶(hù)和服務(wù)提供商責(zé)任分擔(dān)模型在IS云資源使用方主要負(fù)責(zé)：提交云資源配置需求并正常使用云服務(wù)提供商提供的云主機(jī)、網(wǎng)絡(luò)、安全策略等；按照本公司的風(fēng)險(xiǎn)管理要求進(jìn)行云服務(wù)器和網(wǎng)絡(luò)的變更，避免人為失誤或方案疏忽等因素造成影響單個(gè)應(yīng)用或整個(gè)云平臺(tái)的風(fēng)險(xiǎn)事件。2018316（征求意見(jiàn)稿，要求銀行業(yè)金融機(jī)構(gòu)將數(shù)據(jù)治理納入公司治理范疇，并將數(shù)據(jù)治理情況與公司治理評(píng)價(jià)和監(jiān)管評(píng)級(jí)掛鉤。明確鼓勵(lì)銀行業(yè)金融機(jī)構(gòu)開(kāi)展制度性探索，在公司設(shè)置首席數(shù)據(jù)官。強(qiáng)調(diào)銀行業(yè)金融機(jī)構(gòu)應(yīng)順應(yīng)大數(shù)據(jù)時(shí)代的需要，同時(shí)所有相關(guān)方均應(yīng)強(qiáng)化數(shù)據(jù)安全意識(shí)，依法合銀行用戶(hù)從自身來(lái)說(shuō)，應(yīng)制定完善的風(fēng)險(xiǎn)管理和安全保障制度，依據(jù)監(jiān)圖9銀行IT風(fēng)險(xiǎn)管理“三道防線(xiàn)”架構(gòu)銀行用戶(hù)應(yīng)做好對(duì)云服務(wù)商的監(jiān)督管理，建議從以下幾個(gè)方面對(duì)云服務(wù)商加強(qiáng)風(fēng)險(xiǎn)管理要求：（1）云服務(wù)商應(yīng)組織評(píng)估本機(jī)構(gòu)面臨風(fēng)險(xiǎn)狀況，找出可能影響銀行用戶(hù)服務(wù)結(jié)果和服務(wù)承諾的風(fēng)險(xiǎn)要素，制定云服務(wù)商的風(fēng)險(xiǎn)管理策略。（2）云服務(wù)商應(yīng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，向銀行用戶(hù)提供本機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估的結(jié)論，并依此決定采取風(fēng)險(xiǎn)防范的措施和方法，對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理。銀行上云后由于業(yè)務(wù)變化會(huì)經(jīng)常變更服務(wù)需求。銀行用戶(hù)發(fā)起服務(wù)變更請(qǐng)求，云服務(wù)商應(yīng)及時(shí)響應(yīng)，制定變更服務(wù)方案、實(shí)施計(jì)劃和恢復(fù)方案；提出服務(wù)內(nèi)容相匹配的服務(wù)內(nèi)容說(shuō)明及服務(wù)級(jí)別承諾；提出明確的時(shí)間計(jì)劃，并與云服務(wù)由于情況變化、服務(wù)到期等原因中止或取消服務(wù)稱(chēng)為服務(wù)退出，服務(wù)退出可分為到期退出和提前退出。服務(wù)的退出應(yīng)滿(mǎn)足以下要求：（1）在服務(wù)協(xié)議/合同到期前，銀