金融业云数据中心(FDC)租用合规回顾
合规追溯1:人行金标委标准
人行金标委JR/T0140-2017《民营银行信息系统代管维护服务规范》第4.2条指出:代管维护服务范围和类型包含:基础设施建设、系统架构、软件系统和数据信息等有选择地代管于受托组织的物理场所。
代管维护服务分为下列三种类型:基础设施建设级代管、系统架构级代管、软件系统级代管。
基础设施建设级指风、火、水、电等机房基础设施建设及其物理环境;系统架构级指电脑操作系统、数据库查询、分布式数据库、储存、互联网等;软件系统级的代管适用于金融业同行组织中间,营运商、第三方、独立性的IDC难以做到。
合规追溯2:银监会业务连续性管控指引
银监办【2010】114号《商业银行云数据中心管控指引》第四十二条云数据中心服务外包一般包含:
(一)基础设施建设类:服务外包商向商业银行提供云数据中心机房、配套设施或运行设备的服务。
(二)运营维护类:服务外包商向商业银行提供云数据中心信息系统或基础设施建设的日常运行、维护等服务。
很多出租方都以用户为中心的理念,只是以用户明确提出来的需求不是足够的。云数据中心做为数字化的基础,为上层的IT服务,IT是为应用和业务流程服务。因而,各方面的租用要求是由上层传导下来。基础设施建设也是为了支撑确保IT系统、软件系统、业务系统的连续性运行。所以金融行业更多的是强调业务连续性。主要的是业务流程RTO、业务流程RPO。
第二十五条:商业银行应当综合分析重要业务流程运营中止可能造成的损失与业务流程修复成本,结合业务流程服务时效性、服务周期等运行特点,确定重要业务流程修复时间目标(业务流程RTO)、业务流程修复点目标(业务流程RPO),原则上,重要业务流程修复时间目标不得大于4小时,重要业务流程修复点目标不得大于半小时。
合规追溯3:银监会业务外包风险管控指引
银监发【2013】5号《商业银行金融企业信息科技业务外包风险管控指引》第七十二条:商业银行关键服务外包组织是指集中为商业银行金融企业提供服务外包,如果其服务外包失败可能导致商业银行大面积数据信息损毁、丢失、泄露或信息系统服务中止,造成经济损失的组织。
(一)承担商业银行金融企业云数据中心、灾备中心机房及基础设施建设服务外包;且上述服务均为非驻厂服务外包。同时:
(二)服务的法人商业银行金融企业数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人商业银行金融企业数量达到3家或以上;或服务的其他类型法人商业银行金融企业数量达到10家或以上。
第七十四条第(三)点:承担商业银行金融企业云数据中心、灾备中心机房及基础设施建设服务外包的商业银行关键服务外包组织,其机房及基础设施建设应当达到国家电子计算机机房高标准,即国标A级。
合规追溯4:银监会商业银行业务外包风险管控文件
●银监发【2010】44号《商业银行金融企业业务外包风险管理指引》
●银监办发【2014】187号《中国银监会政策研究室关于加强商业银行金融企业信息科技非驻厂集中式业务外包风险管理的通知》
●银监办发【2014】272号《中国银监会政策研究室关于开展商业银行金融企业信息科技非驻厂集中式业务外包管控评估工作的通知》
No.02
有获批案例,是合规可行的
部分银行同业租用和托管服务案例
金融企业租用云数据中心案例:
兴业银行提供给同业包含软件系统级、系统架构级和基础设施建设级托管服务。
近年,某互联网银行(同城双活、异地灾备)租用GDS某IDC(500个机柜)、越秀金控租用广州某IDC云数据中心、广东农信租用广州某IDC云数据中心做为生产副中心(400个机柜)、华兴银行租用广州某IDC云数据中心、广东南粤合建租用科学城某云数据中心等。
No.03
面向合规的租用步骤
No.04
合规租用要点与剖析
No.05
租用中亟待解决的困扰与难点
困扰一:根据业务流程经营规模和时间压力要求、依据可靠性、可用性以及业务连续性不同等级要求,怎样加快海选、初选、终选进度?
困扰二:拟租用IDC云数据中心现况不一,怎样对齐横比?成本怎样折算?
难点一:多租户已入驻场景下,怎样检验出租方应急方案有效性?应急处置能力怎样验证?
难点二:不排他性和合规承诺的实行问题。