栗蔚：各位专家好！非常感谢陈司长和赵主任的致辞。接下来我为大家介绍一下今天上午刚刚发布的可信金融云服务（银行类）指南和标准的情况。就像今天上午所讲的一样，在制定金融行业标准的时候把金融行业更加细分了，包括互联网金融、传统金融和保险、证券。这四个细分行业，不管是监管，还是从目前的市场情况来讲都是不太一样的。

银行是一个强监管的行业，目前还是在努力使用更多的私有云和行业云，而保险互联网金融整个市场不仅是私有云，还有行业云，公有云也在大量的使用中，尤其是互联网金融，因为天生它就是互联网发展带来的，像京东云、蚂蚁金服也好，都是在做互联网金融服务，并不是传统的银行、保险服务。

我们选择银行这一最传统的金融行业作为标准，因为互联网金融在目前的情况下比可信云的要求稍微高一点，但是没有太大的区别，而银行跟同等金融可信云现在相比有很多的不同。我们联合专门提供的云计算服务公司编写了可信金融云服务（银行类）指南及系列标准概括。如果银行自建云服务给银行集团的各级单位使用，也可以参考这个标准。

指南里面涉及几方面内容，包括场景需求和总体框架、风险管理、服务协议、IaaS、PaaS、SaaS几部分的标准。可以先看一下它跟普通可信云的区别。蓝色的是普通可信云关注的维度和能力要求。红色的是可信金融云银行类增加的部分。银行类的标准比普通的可信云在能力要求方面增加了银行业特有的风险管理和服务保障的要求，并且在可信的维度上，普通的可信云跟它一直就可以，不管是2个9，还是3个9。但是银行类不仅要求他的承诺跟自己的真实能力一致，还要求达到一个门槛。以可用性为例，要求一定是3个A、1个5之上的能力才可以，所以银行类的标准能力不仅增加了风险管理和服务保障，对于每一个能力的维度都设置了一个门槛值。

我们采信了基础可信的指标作为整个银行类的基础指标。包括可用性、服务资源调配能力、数据的可迁移性、网络接入性能、服务计量准确性、可销毁性、私密性、知情权等等，这些都是可信云的基础指标，也是银行标准的一部分。

这个指南给了我们一个概述，标准包括银行在使用或者自建云服务的时候应该遵循的能力要求。指南面向两类企业，一类是银行内部的金融云服务，另外一类是进行科技输出的科技公司，而且是银行系的科技公司。不管是指南也好，还是标准也好，前置条件是提供云服务的主体一定要跟他的用户是具有同业特征的。所谓同业特征就是他们都是银行系的，我们也是在落实银监会相关的监管要求。

在指南里首先给了银行上云的服务框架，包括上云的准备、上云的实施、上云后的管理。在决定上云以后，已经覆盖了上云实施和上云后管理。决定上云以后，需要了解的是银行云整体的云服务框架和能力要求，框架我们分为IaaS、PaaS、SaaS。IaaS基本属于计算、存储、网络三个基本资源的服务，PaaS专注银行业开发测试以及开发测试之后的持续集成、持续交付，还有分布式开发架构微服务。再往上就是SaaS，这里的SaaS全都是银行业的应用，包括核心的银行类的软件，还有基础平台类、网关类、渠道服务类、支撑功能类、客户关系管理类、风险管理类、信息产品服务类。针对IaaS、PaaS、SaaS云服务产品框架，要求不管是IaaS、PaaS，还是SaaS，都必须具备可信的能力，而可信包括风险管理可信、企业属性可信、服务协议可信、服务技术可信和服务保障可信这五个维度的可信。

首先看一下企业属性。我们要求企业属性必须具有互联网资源协作牌照，要符合工信部的监管要求。第二，需要符合银监会的监管要求，应该为银行机构其控股的科技公司。剩下的都是一些基本的企业要求。

第二个可信能力方面，要求他的风险管理能力可信。风险管理能力最主要的是界定IaaS、PaaS、SaaS的提供方和用户之间的责任模型，IaaS的云服务商是为基础环境和部分的主机服务器、网络环境负责的，不同的层级  责任边界是不一样的。最关键的是风险管理里的五个要求，其实就是落实了之前银监会关于风险管理指引的五部分要求，包括IT服务管理、信息安全管理、开发测试管理、业务连续性管理、科技外包管理，需要符合风险管理的要求。在风险管理里面，首先要满足的是一系列的资质要求，还有必须开展的专项方向工作，这些专项工作也是银监会要求银行以及银行系的信息科技公司    需要给银监会报备的。

IT服务管理包括服务可用性管理、容量管理、服务的持续改进等等。IT服务管理原来的银监会有相关的要求，这里我们根据云计算特有的环境进行了扩充，尤其是服务可用性管理，要求把服务可用性管理的规章制度以及流程进行相应的规范，包括数据的私密性、安全性、防丢的能力都进行了更详细的规范。

在信息安全里面，我们参考了等保的要求。对于一些资产管理、数据安全管理，尤其是数据安全管理更加强了。因为数据安全管理以前我们在做可信云的时候就已经做了数据保护能力的要求，也是参考了相关数据保护能力的标准。

开发测试管理，根据云计算环境的开发测试做了相应的扩充，包括分析规划、采购开发、测试。尤其是目前我们都在提倡敏捷开发、持续交付，在敏捷开发和持续交付的过程中，如何去做风险管理。因为提倡了敏捷以后，很多开发人员也许某一些应用的开发，一些互联网化的应用开发，或者由于着急上线，他有发布的权利。以前这种发布的权利要通过很多的安全审核，再交由生产部门去做。所以，在敏捷开发、持续交付的过程中如何去做风险管理，我们也进行了相关的规范要求。

最主要的就是业务连续性，业务连续性是银行业特别的要求，包括RTO应小于4小时，RPO应约等于0，作为强制要求在风险管理里面进行了评估。主要评估之前实际开展的业务连续性的运维和实验报告故障的情况，来判断他是不是具有这种能力。

科技外包也是非常关键的，银行科技外包是科技开发里面重要的一环，因为大量的工作其实是由银行的用户，也就是云服务的用户和技术提供方合作完成的。过程中技术提供方，像OpenStack软件商，对他们风险监管的要求也是非常关键的。我们对科技外包的软件商提出了相关的要求，以及对用户如何去管理也提出了相关的要求。

服务协议讲的是用户和提供方之间签署的一些约定，包括服务安全条款、质量条款，跟普通可信云不一样，增加了质量保障类条款。质量保障类也是我们银行业特有的条款，包括了基础知识、运营监控、服务报告、服务评价等等。

IaaS技术和服务能力要求，除了技术的可信指标以外，我们增加了性能的可信指标以及服务保障能力的要求。每一个性能的可信指标我们都规定了一个能限值。我们把PaaS分为应用托管的容器服务于开发测试，除了基础的可信指标，我们对PaaS的通用能力、开发测试能力等都提出了相关的要求。关于SaaS我们跟业界银行业的专家一起，把银行类的软件进行了分类，包括最核心的银行类，还有渠道类、风险管理类，针对每一类的软件都提出了可信的要求。

以上就是可信金融云指南的思路和标准的介绍，具体还有一些评估的情况，由后面的同事进行详细的介绍。谢谢！