侯大鹏:各位下午好,我今天演讲的主题是继续围绕可信云金融标准进行探讨。标准今天上午已经进行了发布,信通院的老师们从2014年就计划开始筹划写这样一个金融云的行业标准,终于在2018年的今天进行了发布。我们公司昨天也对可信云大会的相关事宜进行了宣传,推广内容相关比较保守,说:这是一个符合银行业特点的可信的金融云标准,但是我昨天在看招商银行招银云创的推广内容,他们说的就非常直接了,说:这个标准是目前国内云计算高要求的标准。
下面跟大家分享一下兴业数金是怎么样根据可信金融云的标准开展日常工作的。因为我本身在公司内部就是做风险管理、信息安全的,所以其实分享的内容就是我平时的工作内容。
首先简单介绍一下兴业数金。兴业数金是一家提供金融信息服务的数字金融企业,之前叫银银合作中心,目前有200多家客户。
可信金融云标准分为六个部分,前三个标准是基础核心的指标,也就是说,在认证的时候,无论是做IaaS、SaaS,还是PaaS,都需要满足前三个指标。后三个指标比较特殊,过哪个认证再对应的选择通过哪个指标。
说一下来源,可信金融云标准的风险管理部分是银行属性最为强的,来源银保监会,原来银监会所有发文的集合。风险管理部分主要来自于2009年《商业银行信息科技风险管理指引》9号文,包括5部分。第一个是安全风险管理,第二个是信息安全管理,第三个是开发测试管理,第四个是业务连接性管理,第五个是IT服务管理体系。
开头部分介绍了资质的要求,其实按照《商业银行信息科技风险管理》的要求,1000亿资产规模以上的银行都会按照风险管理的要求,都已经将自己的信息科技划分为三道防线,一道是信息科技,二道是风险管理,三道防线是审计。按照这三道防线进行划分基本上就能满足第一个要求,后面的资质要求还包括可信云认证、IT服务管理体系、信息安全管理体系、业务连续性管理体系、等保三级及以上,最后还有这些数据必须是在境内。
基础服务要求主要有四个方面。科技风险方面要做到信息化、流程化、制度化、专业化。制度化是比较快捷的,可以参照国际标准,按照标准或者按照监管发文的要求,编制一系列涉及到公司运营方方面面的制度,有制度文档能够达到认证的条件。但是在信息化和流程化方面,不论是兴业数金还是招商云创,全部都是电子化和趋于自动化的。ISO里所有的流程、变更管理,都要有电子化的信息系统作为支撑,并且基本上做到无纸化,公司内部所有运营的事情都通过统一的运营管理平台进行运维管理,并且能够自动的进行KPI的考核,出具相应的报表,报给相应的领导,每个月进行持续的改进。
信息化监控方面,无论是可用性的监控、底层的监控,还是机房的监控,都要汇总到一个统一的平台中,进行统一的纳管,并且有7×24小时的运维支撑。有些是帮助客户提高服务质量、提供服务内容的,比如为客户提供服务月报,按照服务水平协议的要求进行服务可用性的满足。关于服务可用性可用性达到99.95%以上,但站在技术的层面来看,这个要求不是特别高。我们之所以承诺99.95%,是底层技术平台、工程师的能力都可以高于这个要求,主要问题在于运营商,运营商对我们提供的可用性要求就是99.99%,我们不可能比他们还高,如果运营商要求能够有更高的要求,我们对应的可用性可能可以更高。
专项工作任务, 左边列了十条,也是我这个部门要监督跟踪执行的事情。右边是十项工作的频率,同时这十项工作都要进行监管报送。我们可以有效的利用监管报总这个手段,来推动公司内部科技治理不断的持续优化。比如应急演练,按照监管要求以及金融云标准的要求,公司所有的信息系统应急预案要3年全覆盖一次。包括三个层面,一是数据通信层面,底层的风火水电,3年要实现全覆盖。二是系统网络,操作系统层面,也要进行3年全覆盖,如果有建同城灾备和异地数据灾备也要进行演练。三是应用系统层面,比如我们确定提供100多套应用系统为客户提供服务,3年也是要全覆盖一遍。
实际执行中,尤其是城商行,银保监会默认的要求是所有的重要信息系统每年都要进行一次应急演练。
为什么说监管报送有很大的好处?举个例子,2017年我们部门公司推动了各个应急演练工作的开展,我们在2017年初制定了整个公司的应急演练计划,我们部门费了非常大的力量和各个技术团队商讨应急演练计划好不好,能不能执行。应急演练的时候还要跟进,督促一个个演练。100多个系统,基本上几十个团队,接近千号人,对于他们去做应急演练工作。即使费了非常多的沟通成本做这件事情,但2017年应急演练的时候重要的事项我们保证优先完成了,但是采用Devops系统开发的系统,研发运维一体化的,如果没有很强的应急响应的理念,最后执行质量都是要打折扣的。当时,在2017年我们是技术团队们完成了哪些应急演练,就对监管报送哪些。因为2017年做的非常累,2018年我们就换了一个策略,2018年初定了公司的应急演练计划,涉及76个子项的要求。76个子项的要求年初就报给了银保监会进行备案和报备,这样在公司内部推的时候就不会费那么大力量推动各个团队和技术人员搞这个事情,发通知的时候就写一条,我已经报给银保监会,请参照执行,截止时间是做了这件事情之后一周内报给我,我报给银保监会。各个团队的负责人非常明白,这件事情是必须要做的,从公司的角度推动了员工们应急演练的熟练度。截止到目前,各个团队已经很好的按照规划完成了相应的应急演练工作。
其他的事情也是类似的,比如业务影响分析,每年做一次。信息科技外包风险评估,也是每年一次,由第三方公司来做。数据中新信息安全风险评估,也是由地区放公司做的。渗透测试与漏洞扫描,渗透测试基本是触发式每年一次,漏洞扫描最低的基本要求是每季度对所有的系统进行一次漏洞扫描。内部审计是由内部组织的,每年一次。外部审计,要求每3年进行一次全面的信息科技审计,由第三方的公司开展。邀请客户对自身进行风险检查评估,我们和招商云创处理的方式不太一样,招商云创客户总数不是特别多,基本每年客户都会对他们进行一次风险检查。我们公司有200多家客户,每年都对我们检查我们是吃不消的,所以我们采取的办法是抽取其中的10家左右,成立一个风险检查组,小组代表所有的客户来对我们进行检查。等保测评,无论是三级还是四级都是每年进行一次评测。认证体系的复测,ISO的标准或者可信云标准的测评。这些测评所有都需要数据报告,报告的内容分为两次,一个是做这个事情之前的一个月要向监管进行报备,二是做完这个事情之后下一个月报进行报送。
服务协议参考架构,重点讲两部分。一是可用性承诺的条款。可用性承诺条款是一个非常细的指标,解释成每一条技术的可用性或者每一个系统的可用性,进行单独的承诺。最底下的是用来保护客户的,无论是监管发文的要求,还是工信部可信云的要求,都是非常强调的,但作为云服务商是不想承诺的。我们必须承诺客户在他任何想迁出的时候帮他完成迁出工作。站在自己的角度或者客户的角度来说,都不建议客户进行大的变化。
之前有一个客户,刚开始采用的是全托管的方式,用我们的信息系统,后来他可能对自己的科技实力有了长远的规划,就进行了全部的迁出,自己成立了开发测试团队来做这个事情。但是银行业信息系统是非常复杂的,包括整体配套的科技实力要求非常高,尤其是三四线城市的人才供给存在跟不上的情况,很难完成这样的事情。所以,迁走两、三年之后又迁回来了,重新找到我们使用我们的系统。在我们的技术人员看来,可能只是增加了一些工作量,但是从客户的角度来看,他们可能就是错失了两三年的黄金业务发展期。所以,我们也是站在监管的角度为广大中小银行客户提供高于行业一般标准的信息科技服务,使中小银行客户能够聚焦于自己的业务,他不用再在科技上费心。
兴业数金,包括招商云创应该都是通过以下五个方面达成了银行级的全面风险管理能力,中间的底线就是监管合规,综合银保监会、人民银行、工信部,人民银行总公司也会有相关的要求,左右两边是信息安全技术能力和信息安全管理能力。信息安全技术能力,结合无论是标准要求的能力,还是监管要求的能力,基本上可以达到等保四级通过的程度。右边的管理能力基本上综合了国内国际所有的管理要求。还有第四、第五部分,我们也同时重视客户服务,采用7×24小时的思路,一线、二线的支持。不断的加强自身内控组织学习能力,通过不断的内审外审推动公司内部的可用性和连续性的保障。
我就分享到这里,感谢大家!