1、中小銀行上云的運維管理目 錄 TOC o 1-3 h z u HYPERLINK l _Toc526873624 1.前言 PAGEREF _Toc526873624 h 3 HYPERLINK l _Toc526873625 2.中小銀行上云決策框架 PAGEREF _Toc526873625 h 4 HYPERLINK l _Toc526873626 3.中小銀行上云后管理 PAGEREF _Toc526873626 h 5 HYPERLINK l _Toc526873627 3.1.服務質(zhì)量監(jiān)督管理 PAGEREF _Toc526873627 h 5 HYPERLINK l _Toc52

2、6873628 3.2.風險管理 PAGEREF _Toc526873628 h 5 HYPERLINK l _Toc526873629 3.2.1.責任分擔模型 PAGEREF _Toc526873629 h 5 HYPERLINK l _Toc526873630 3.2.2.自身風險管理“三道防線” PAGEREF _Toc526873630 h 7 HYPERLINK l _Toc526873631 3.2.3.對云服務商風險管理要求 PAGEREF _Toc526873631 h 7 HYPERLINK l _Toc526873632 3.3.變更和退出 PAGEREF _Toc526

3、873632 h 8 HYPERLINK l _Toc526873633 3.3.1.服務變更 PAGEREF _Toc526873633 h 8 HYPERLINK l _Toc526873634 3.3.2.服務退出 PAGEREF _Toc526873634 h 9前言近年來，隨著我國國民經(jīng)濟的持續(xù)健康發(fā)展，中小企業(yè)融資需求和新農(nóng)村建設需要的不斷增強，中小銀行紛紛成立，為地方經(jīng)濟建設提供了強有力的金融支持。與此同時，中小銀行自身信息化建設能力面臨很大挑戰(zhàn)，在資金和人員有限的情況下，在風險必須可控的前提下，又快又好地建設銀行業(yè)務全系統(tǒng)和基礎設施成為中小銀行發(fā)展亟需解決的掣肘。云計算作為信息

4、技術創(chuàng)新服務模式的集中體現(xiàn)，已經(jīng)成為支撐各行業(yè)發(fā)展的關鍵信息基礎設施，是金融行業(yè)分布式架構(gòu)轉(zhuǎn)型的助燃劑，為中小銀行快速部署銀行業(yè)務系統(tǒng)提供了有力的信息化支撐，能夠促進中小銀行提高信息化管理能力， 有效增強業(yè)務競爭能力。本白皮書作為國內(nèi)首個以“中小銀行上云”為主題的白皮書，深入分析中小銀行上云的優(yōu)勢和必要性，剖析中小銀行上云過程中應該考慮的關鍵點并給出專業(yè)建議，重點研究中小銀行為什么要選擇云計算服務、如何選擇云計算服務和如何應用云計算的問題，供中小銀行和云計算行業(yè)相關從業(yè)者及研究人員參考。中小銀行上云決策框架在傳統(tǒng)的信息化建設模式下，中小銀行直接投資構(gòu)建 IT 設施、服務器以及網(wǎng)絡，擁有信息化資

5、源的所有權；現(xiàn)在，需要轉(zhuǎn)換思維，把 IT 看作服務，看作是商品化的計算資源和服務。這種全新的思維方式對整個 IT 服務的生命周期都產(chǎn)生了重大影響。本白皮書提出了中小銀行上云的決策框架，從上云前準備、上云實施到上云后管理三個流程提出決策建議。供計劃實施的有關單位參考。表 1 中小銀行上云決策框架上云前準備上云實施上云后管理確定上云優(yōu)先級和可行性方案選擇合適的云服務商服務合同制定和簽署服務方案設計和測試服務交付服務質(zhì)量監(jiān)督管理風險管理變更和退出中小銀行上云后管理服務質(zhì)量監(jiān)督管理上云成功后，云計算廠商接受中小銀行用戶或受委托的第三方機構(gòu)對云服務的監(jiān)督和管理。云計算廠商和中小銀行用戶共同建立故障響應流

6、程以及日常巡檢、服務質(zhì)量監(jiān)督制度，督促云計算廠商為中小銀行用戶提供可靠的運行服務保障， 推動服務質(zhì)量持續(xù)改進。中小銀行用戶根據(jù)自身審計能力可以選擇通過自行審計或委托第三方機構(gòu)審計的方式，開展周期性評估審計。中小銀行用戶管理云系統(tǒng)需要將云服務商、審計者和最終用戶都考慮進來， 將關注的側(cè)重點聚焦于服務而非資產(chǎn)。需要有效地管理云服務商的輸出過程(例如 SLA）而不是用戶的輸入過程(例如服務器的數(shù)量)。對出現(xiàn)的服務不可用或其他應對用戶進行賠償?shù)膱鼍?，云計算廠商應按照與中小銀行用戶服務協(xié)議中約定的內(nèi)容和方式，進行有效賠付，保證中小銀行用戶的合法權益。風險管理責任分擔模型中小銀行用戶必須加強防范云計算模式

7、下的 IT 風險,保障業(yè)務信息和運行安全。中小銀行在使用云服務的過程中，會有多種云計算技術的選擇方式，同時也可能會面臨多個云服務商。任何一個云服務的參與者都應當承擔起相應的職責， 不同角色的參與者通常會承擔實施和管理不同部分的責任。云安全和云風險的職責會由參與者共同分擔。建議的責任分擔模型如下圖所示：圖 8 中小銀行用戶和服務提供商責任分擔模型在 IaaS 服務模式中，云資源使用方和云服務提供商共同保證主機服務器及網(wǎng)絡環(huán)境的穩(wěn)定運行。云資源使用方主要負責：提交云資源配置需求并正常使用云服務提供商提供的云主機、網(wǎng)絡、安全策略等；按照本公司的風險管理要求進行云服務器和網(wǎng)絡的變更，避免人為失誤或方案

8、疏忽等因素造成影響單個應用或整個云平臺的風險事件。云服務提供商主要負責：按照云資源使用方的要求提供相應的云主機、網(wǎng)絡、安全資源；負責維護整個云平臺的高可用運行，負責確保單個云主機或者單個物理機的故障能夠自動、快速、有效恢復正常；負責在出現(xiàn)風險事件時，配合客戶進行基礎環(huán)境、主機環(huán)境、網(wǎng)絡環(huán)境、甚至應用層面的故障排查、處置和恢復。數(shù)據(jù)資產(chǎn)的安全和保護貫徹數(shù)據(jù)使用生命周期的各個環(huán)節(jié)，需要云資源使用方和云服務提供商共同維護、協(xié)同保障。2018 年 3 月 16 日，中國銀監(jiān)會發(fā)布了銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引（征求意見稿），要求銀行業(yè)金融機構(gòu)將數(shù)據(jù)治理納入公司治理范疇，并將數(shù)據(jù)治理情況與公司治理評價和監(jiān)

9、管評級掛鉤。明確鼓勵銀行業(yè)金融機構(gòu)開展制度性探索，在公司設置首席數(shù)據(jù)官。強調(diào)銀行業(yè)金融機構(gòu)應順應大數(shù)據(jù)時代的需要，同時所有相關方均應強化數(shù)據(jù)安全意識，依法合規(guī)采集數(shù)據(jù)，防止過度采集、濫用數(shù)據(jù)，切實依法保護客戶數(shù)據(jù)安全。自身風險管理“三道防線”中小銀行用戶從自身來說，應制定完善的風險管理和安全保障制度，依據(jù)監(jiān)管要求的“三道防線”的思路下設計整信息科技部門的風險管理體系架構(gòu)，包括信息科技管理、信息科技風險管理和信息科技審計管理。重點做好數(shù)據(jù)風險管理，建立人才培養(yǎng)和技能儲備機制，強化主動管理風險能力。圖 9 中小銀行 IT 風險管理“三道防線”架構(gòu)對云服務商風險管理要求中小銀行用戶應做好對云服務商的

10、監(jiān)督管理，建議從以下幾個方面對云服務商加強風險管理要求：（1）云服務商應組織評估本機構(gòu)面臨風險狀況， 找出可能影響中小銀行用戶服務結(jié)果和服務承諾的風險要素，制定云服務商的風險管理策略。（2）云服務商應定期開展風險評估工作， 向中小銀行用戶提供本機構(gòu)風險評估的結(jié)論，并依此決定采取風險防范的措施和方法，對風險進行分級管理。（3）云服務商應建立健全各項管理與內(nèi)控制度，設立專門風險管理崗位，監(jiān)督和檢查各項規(guī)范、制度、標準和流程的執(zhí)行情況以及風險管理狀況，持續(xù)監(jiān)督風險管理狀況，及時預警，將風險控制在可接受水平。（4）云服務商應建立信息安全事件管理機制，定期向中小銀行用戶提供信息安全事件統(tǒng)計和跟蹤改進的報告，重大信息安全事件應隨時報告。變更和退出服務變更中小銀行上云后由于業(yè)務變化會經(jīng)常變更服務需求。中小銀行用戶發(fā)起服務變更請求，云服務商應及時響應，制定變更服務方案、實施計劃和恢復方案；提出服務內(nèi)容相匹配的服務內(nèi)容說明及服務級別承諾；提出明確的時間計劃，并與中小銀行用戶充分協(xié)商，審核確認，變更實施應避開銀行業(yè)務運行敏感時間窗口。服務退出云服務由于情況變化、服務到期等原因中止或取消服務稱為服務退出，服務退出可分為到期退出和提前退出。服務的退出應滿足以下要求：（1）在服務協(xié)議/合同到期前，中小銀行