商业银行数据中心存储了银行的核心数据资产,承载了银行核心业务、中间业务和第三方业务等重要系统,运行并管理着银行日常大量交易流量。数据中心是银行 IT 基础设施的核心,直接关乎到银行业务的可靠性和连续性。
近年来,我国明确提出要加快5G网络、数据中心、人工智能等新型基础设施建设进度。数据中心是“新基建”的重要组成部分,也是5G、工业互联网、大数据、人工智能等其他“新基建”的基础设施和核心支撑。因此,数据中心在商业银行业务中的关键作用不仅是银行日常运营的支柱,而且在支持银行业务创新和应对未来挑战方面发挥着至关重要的作用。
金融监管机构对商业银行数据中心一直很重视,中国银监会于2010年发布了《商业银行数据中心监管指引》(以下简称《指引》)。《指引》自发布以来,有力地促进了商业银行对数据中心风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理开展全面治理,推动了银行同城或异地模式的容灾数据中心建设,使得银行业金融机构的业务连续性水平实现了质的飞跃。近年来,我国商业银行明显加快了信息科技引领创新、深化转型和落地应用的步伐。大数据、人工智能、云计算、物联网等新技术与银行业务深度融合,为银行发展提供创新活力的同时,也对银行数据中心的技术架构、运维架构、组织架构提出了新的要求。
当前,《指引》对商业银行特别是中小商业银行仍然有很强的指导意义,但毕竟《指引》发布时间较早,近年来信息技术发展又得到了快速发展,各种新的业务场景及数字风险不断涌现,因此,有必要结合新时期金融科技的发展现状和新的合规要求对《指引》进行新的解读,以供中小银行或其他金融机构在数据中心建设与管理过程中加以借鉴。
不同类型银行的数据中心,由于其规模体量大小、建设时间先后、技术发展水平、故障影响范围、行业监管要求等诸多不同,当前面临的主要挑战也不尽相同。中小商业银行相对于大型国有银行和股份制商业银行而言,规模较小、地域性较强,难以享受到规模经济效应带来的成本优势,受到信息科技投入不足、技术人才缺乏等限制,数据中心的发展相对滞后,仍有很多的发展痛点和不足,主要包括以下几个方面:
中小银行数据中心由于缺乏规模经济效应,设备维护、人员培训、运营管理费用等运营成本相对较高,给中小银行的经营和发展带来了一定的压力。
相对于大型银行,中小银行数据中心的建设规模较小,设备配置和技术水平也相对较低,难以满足大量用户访问、数据存储和处理等方面的需求,容易出现系统瓶颈和崩溃等问题。这会影响银行的业务稳定性和用户体验,进而影响到银行的市场竞争力。
由于技术水平相对较低,缺乏高端技术设备和安全保障措施,容易受到黑客攻击、病毒感染等问题的影响,这不仅会导致用户信息泄露和资金损失,还会损害银行的声誉和信誉。
由于中小银行的薪资待遇和职业发展空间相对较小,难以吸引和留住高端技术人才,造成中小银行数据中心缺乏高端技术人才,进而导致技术水平的不足和安全保障能力的弱化,这使得中小银行的数据中心建设和管理更加困难。
中小银行信息科技投入不足、缺乏高端技术人才,缺乏推动技术和业务创新的动力,导致中小银行的业务创新能力较弱,难以满足用户不断变化的需求,也导致中小银行在市场竞争中处于劣势地位。
2010年4月《指引》发布,是国内第一个数据中心建设和管理方面的行业监管要求和规范性文件。该指引的实施,有效指导了商业银行建立健全的数据中心管理体系,提高数据中心的运营效率和安全性,降低数据中心风险,加强灾难恢复管理,提高业务连续性水平,保障金融业务的正常运转。同时,该指引也为监管机构提供了指导,有助于监管机构更好地履职,保障金融市场的稳定和健康发展。
《指引》是商业银行数据中心管理监管合规的一项核心规范,然而合规只是管理的底线,银行需要构建适合自身业务运营与发展情况的数据中心管理体系,在满足《指引》要求基础上,银行在进行数据中心建设和运营维护管理时,还应参考以下标准:
GB/T 33136-2016:《信息技术服务 数据中心服务能力成熟度模型》是由中国国家标准化管理委员会制定的标准,在指导各行业数据中心提升服务能力方面发挥了显著的作用。该标准主要包括数据中心服务能力成熟度模型的概述、定义和术语、数据中心服务能力成熟度评估的方法和步骤、数据中心服务能力成熟度评估的结果和报告等。该标准将数据中心服务能力成熟度分为5个级别,从初始级别到最高级别依次为:初始级别、重复级别、定义级别、管理级别和优化级别。服务能力按特性划分为33个能力项,每个能力项基于证据进行评价得出其成熟度,单个能力项成熟度经加权计算后得到数据中心服务能力成熟度。该标准具备适用广泛性、理论先进性和模型全面性的特征,银行可以参考该标准构建数据中心服务能力评估体系,提高数据中心的服务能力和质量。
GB 50174-2017:《数据中心设计规范》是中华人民共和国住房和城乡建设部发布的标准,该标准主要包括以下内容:数据中心的总体规划和设计原则;数据中心的建筑和结构设计;数据中心的电力系统、机房空调系统、网络系统、安全系统、监控系统、消防系统等方面的设计要求;数据中心的环境、安全和管理要求等。该标准要求数据中心的设计应满足业务需求和可行性要求,同时将可靠性、可维护性和可扩展性作为设计的重要考虑因素。标准中还对数据中心的各个系统和设备提出了详细的设计要求和技术指标,以确保数据中心的安全性和稳定性。该标准有助于规范数据中心的设计和建设,提高数据中心的安全性和可靠性,降低数据中心运营成本,促进数据中心的可持续发展。
中华人民共和国国务院令第745号《关键信息基础设施安全保护条例》:该条例于2017年6月1日正式实施,旨在建立专门保护制度,明确各方责任,提出保障促进措施,保障关键信息基础设施安全及维护网络安全,保障和公共利益。该条例主要包括以下内容:关键信息基础设施的范围、分类和安全等级划分;关键信息基础设施的安全保护要求、安全评估和安全检查;关键信息基础设施安全事件的报告和处置;对违反条例的行为进行处罚等。该条例适用于涉及、国民经济和社会公共利益的关键信息基础设施,包括电信、能源、交通、金融、水利等行业。
GB/T 20984-2007:《信息安全技术 信息系统灾难恢复规范》主要针对信息系统遭受灾难性破坏后的恢复工作,旨在规范信息系统灾难恢复的技术和管理要求,提高信息系统的灾难恢复能力。该规范主要包括以下内容:灾难恢复的策略和规划,灾难恢复的组织和管理、灾难恢复的技术要求、灾难恢复的维护和改进等。该规范的实施,可以帮助各类组织建立健全的信息系统灾难恢复机制,提高信息系统的可靠性和稳定性,保障信息安全。
JR/T 0071.2-2020:《金融行业网络安全等级保护实施指引 第2部分:基本要求》是由中国金融认证中心、中国人民银行、中国银行业监督管理委员会等单位联合制定的一项指引,规范了金融行业网络安全等级保护的基本要求,提高金融行业网络安全保护的水平。该指引对金融行业数据中心的物理环境安全提出了非常明确的要求,包括机房选址、机房物理防护、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等各个方面。
《新型数据中心发展三年行动计划(2021-2023年)》:该计划是工业和信息化部于2021年7月制定的指导性文件,旨在推动新型数据中心的建设和发展,提高我国数字经济的发展水平。该计划主要包括以下内容:新型数据中心的建设标准、技术规范和安全保障要求;新型数据中心的应用场景和业务发展方向;政府支持新型数据中心建设和发展的政策措施;新型数据中心人才培养和管理等方面。通过该计划,鼓励企业加快新型数据中心的建设和技术创新,提高数据中心的运营效率和安全性,促进数字经济的快速发展。同时,该计划也提出了一系列政策措施,如降低新型数据中心建设和运营成本、加强数据中心安全保障等,以促进新型数据中心的发展。
2010年前后,我国各大银行基本都已完成数据集中,中国银行业进入现代化、集中式超大规模数据中心时代,终结了分支机构分散经营、各自为战的局面,统一了全行经营管理,为银行信息化发展奠定了技术基础。商业银行数据大集中的完成,为银行业务带来便利的同时,也带来了风险的高度集中,特别是,由于硬件故障、网络故障、电力中断、人为操作失误等问题而导致大面积、较长时间的业务中断,产生了较大的社会影响,其教训引起了各银行以及监管机构的高度重视。
为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,提高银行业务连续性水平,原中国银行业监督管理委员会于2010年4月底发布了《指引》。指引的发布和实施不仅促进银行业数据中心管理和灾难恢复、业务连续管理水平的整体提升,保障业务持续高效运营;同时,对保险、证券、能源等其他行业监管机构对数据中心领域的监管和科技风险管控也有很好的借鉴意义。
2023年,中小银行开启数字化转型“加速度”,越来越多的中小银行开始借助数字的力量重塑经营体系,打造数字时代之下的核心竞争力。数据中心是数字化转型的关键信息基础设施,虽然《指引》已经发布十多年,但当前继续落实《指引》的要求,夯实转型的科技核心支撑仍具有重要意义。
《指引》共分为九章,五十五条,对数据中心设立与变更、风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理、监督管理等方面提出了明确要求,旨在规范商业银行数据中心的监管和管理,提高其安全性和稳定性,保障商业银行业务的持续稳定开展。
《指引》中明确“数据中心”包括商业银行设立的生产中心和灾备中心。生产中心是指商业银行对全行业务、客户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息科技支撑服务的组织;灾备中心是指商业银行为保障其业务连续性,在生产中心故障、停顿或瘫痪后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织。灾备中心同城模式是指灾备中心与生产中心位于同一地理区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事件。灾备中心异地模式是指灾备中心与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。
《指引》规定了商业银行数据中心的设立与变更相关事项,要求商业银行在设立数据中心的早期就要考虑到灾备的问题,确保数据中心的运营安全和稳定。
灾难恢复能力要求:总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,以及省级农村信用联合社应设立异地模式灾备中心,重要信息系统灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》中定义的灾难恢复等级第5级(含)以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份,重要信息系统灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》中定义的灾难恢复等级第4级(含)以上。这个规定要求商业银行在设立灾备中心时应考虑到异地或同城模式,并根据不同的要求设立相应等级的灾备中心,确保数据中心的业务连续性和灾备能力。
商业银行数据中心实现了信息系统和数据大集中,为银行业提供广阔的业务发展空间和持续创新能力,同时也带来了风险的高度集中,如硬件故障、网络故障、电力中断、人为操作失误等,这些风险轻则降低银行的服务水平、阻碍业务的正常运营,重则导致大范围、长时间停业,使银行面临以及不良社会影响。信息科技部门、风险管理部门、审计部门需充分发挥“三道防线”协同作用,实现对数据中心风险的管理。
根据《指引》的规定,商业银行信息科技部门作为第一道防线,应指导、监督和协调数据中心明确信息系统运营维护管理策略,建立运营维护管理制度、标准和流。
