中小銀行上云的運(yùn)維管理

1、中小銀行上云的運(yùn)維管理目 錄 TOC o 1-3 h z u HYPERLINK l _Toc526873624 1.前言 PAGEREF _Toc526873624 h 3 HYPERLINK l _Toc526873625 2.中小銀行上云決策框架 PAGEREF _Toc526873625 h 4 HYPERLINK l _Toc526873626 3.中小銀行上云后管理 PAGEREF _Toc526873626 h 5 HYPERLINK l _Toc526873627 3.1.服務(wù)質(zhì)量監(jiān)督管理 PAGEREF _Toc526873627 h 5 HYPERLINK l _Toc52

2、6873628 3.2.風(fēng)險(xiǎn)管理 PAGEREF _Toc526873628 h 5 HYPERLINK l _Toc526873629 3.2.1.責(zé)任分擔(dān)模型 PAGEREF _Toc526873629 h 5 HYPERLINK l _Toc526873630 3.2.2.自身風(fēng)險(xiǎn)管理“三道防線” PAGEREF _Toc526873630 h 7 HYPERLINK l _Toc526873631 3.2.3.對(duì)云服務(wù)商風(fēng)險(xiǎn)管理要求 PAGEREF _Toc526873631 h 7 HYPERLINK l _Toc526873632 3.3.變更和退出 PAGEREF _Toc526

3、873632 h 8 HYPERLINK l _Toc526873633 3.3.1.服務(wù)變更 PAGEREF _Toc526873633 h 8 HYPERLINK l _Toc526873634 3.3.2.服務(wù)退出 PAGEREF _Toc526873634 h 9前言近年來(lái)，隨著我國(guó)國(guó)民經(jīng)濟(jì)的持續(xù)健康發(fā)展，中小企業(yè)融資需求和新農(nóng)村建設(shè)需要的不斷增強(qiáng)，中小銀行紛紛成立，為地方經(jīng)濟(jì)建設(shè)提供了強(qiáng)有力的金融支持。與此同時(shí)，中小銀行自身信息化建設(shè)能力面臨很大挑戰(zhàn)，在資金和人員有限的情況下，在風(fēng)險(xiǎn)必須可控的前提下，又快又好地建設(shè)銀行業(yè)務(wù)全系統(tǒng)和基礎(chǔ)設(shè)施成為中小銀行發(fā)展亟需解決的掣肘。云計(jì)算作為信息

4、技術(shù)創(chuàng)新服務(wù)模式的集中體現(xiàn)，已經(jīng)成為支撐各行業(yè)發(fā)展的關(guān)鍵信息基礎(chǔ)設(shè)施，是金融行業(yè)分布式架構(gòu)轉(zhuǎn)型的助燃劑，為中小銀行快速部署銀行業(yè)務(wù)系統(tǒng)提供了有力的信息化支撐，能夠促進(jìn)中小銀行提高信息化管理能力， 有效增強(qiáng)業(yè)務(wù)競(jìng)爭(zhēng)能力。本白皮書(shū)作為國(guó)內(nèi)首個(gè)以“中小銀行上云”為主題的白皮書(shū)，深入分析中小銀行上云的優(yōu)勢(shì)和必要性，剖析中小銀行上云過(guò)程中應(yīng)該考慮的關(guān)鍵點(diǎn)并給出專(zhuān)業(yè)建議，重點(diǎn)研究中小銀行為什么要選擇云計(jì)算服務(wù)、如何選擇云計(jì)算服務(wù)和如何應(yīng)用云計(jì)算的問(wèn)題，供中小銀行和云計(jì)算行業(yè)相關(guān)從業(yè)者及研究人員參考。中小銀行上云決策框架在傳統(tǒng)的信息化建設(shè)模式下，中小銀行直接投資構(gòu)建 IT 設(shè)施、服務(wù)器以及網(wǎng)絡(luò)，擁有信息化資

5、源的所有權(quán)；現(xiàn)在，需要轉(zhuǎn)換思維，把 IT 看作服務(wù)，看作是商品化的計(jì)算資源和服務(wù)。這種全新的思維方式對(duì)整個(gè) IT 服務(wù)的生命周期都產(chǎn)生了重大影響。本白皮書(shū)提出了中小銀行上云的決策框架，從上云前準(zhǔn)備、上云實(shí)施到上云后管理三個(gè)流程提出決策建議。供計(jì)劃實(shí)施的有關(guān)單位參考。表 1 中小銀行上云決策框架上云前準(zhǔn)備上云實(shí)施上云后管理確定上云優(yōu)先級(jí)和可行性方案選擇合適的云服務(wù)商服務(wù)合同制定和簽署服務(wù)方案設(shè)計(jì)和測(cè)試服務(wù)交付服務(wù)質(zhì)量監(jiān)督管理風(fēng)險(xiǎn)管理變更和退出中小銀行上云后管理服務(wù)質(zhì)量監(jiān)督管理上云成功后，云計(jì)算廠商接受中小銀行用戶(hù)或受委托的第三方機(jī)構(gòu)對(duì)云服務(wù)的監(jiān)督和管理。云計(jì)算廠商和中小銀行用戶(hù)共同建立故障響應(yīng)流

6、程以及日常巡檢、服務(wù)質(zhì)量監(jiān)督制度，督促云計(jì)算廠商為中小銀行用戶(hù)提供可靠的運(yùn)行服務(wù)保障， 推動(dòng)服務(wù)質(zhì)量持續(xù)改進(jìn)。中小銀行用戶(hù)根據(jù)自身審計(jì)能力可以選擇通過(guò)自行審計(jì)或委托第三方機(jī)構(gòu)審計(jì)的方式，開(kāi)展周期性評(píng)估審計(jì)。中小銀行用戶(hù)管理云系統(tǒng)需要將云服務(wù)商、審計(jì)者和最終用戶(hù)都考慮進(jìn)來(lái)， 將關(guān)注的側(cè)重點(diǎn)聚焦于服務(wù)而非資產(chǎn)。需要有效地管理云服務(wù)商的輸出過(guò)程(例如 SLA）而不是用戶(hù)的輸入過(guò)程(例如服務(wù)器的數(shù)量)。對(duì)出現(xiàn)的服務(wù)不可用或其他應(yīng)對(duì)用戶(hù)進(jìn)行賠償?shù)膱?chǎng)景，云計(jì)算廠商應(yīng)按照與中小銀行用戶(hù)服務(wù)協(xié)議中約定的內(nèi)容和方式，進(jìn)行有效賠付，保證中小銀行用戶(hù)的合法權(quán)益。風(fēng)險(xiǎn)管理責(zé)任分擔(dān)模型中小銀行用戶(hù)必須加強(qiáng)防范云計(jì)算模式

7、下的 IT 風(fēng)險(xiǎn),保障業(yè)務(wù)信息和運(yùn)行安全。中小銀行在使用云服務(wù)的過(guò)程中，會(huì)有多種云計(jì)算技術(shù)的選擇方式，同時(shí)也可能會(huì)面臨多個(gè)云服務(wù)商。任何一個(gè)云服務(wù)的參與者都應(yīng)當(dāng)承擔(dān)起相應(yīng)的職責(zé)， 不同角色的參與者通常會(huì)承擔(dān)實(shí)施和管理不同部分的責(zé)任。云安全和云風(fēng)險(xiǎn)的職責(zé)會(huì)由參與者共同分擔(dān)。建議的責(zé)任分擔(dān)模型如下圖所示：圖 8 中小銀行用戶(hù)和服務(wù)提供商責(zé)任分擔(dān)模型在 IaaS 服務(wù)模式中，云資源使用方和云服務(wù)提供商共同保證主機(jī)服務(wù)器及網(wǎng)絡(luò)環(huán)境的穩(wěn)定運(yùn)行。云資源使用方主要負(fù)責(zé)：提交云資源配置需求并正常使用云服務(wù)提供商提供的云主機(jī)、網(wǎng)絡(luò)、安全策略等；按照本公司的風(fēng)險(xiǎn)管理要求進(jìn)行云服務(wù)器和網(wǎng)絡(luò)的變更，避免人為失誤或方案

8、疏忽等因素造成影響單個(gè)應(yīng)用或整個(gè)云平臺(tái)的風(fēng)險(xiǎn)事件。云服務(wù)提供商主要負(fù)責(zé)：按照云資源使用方的要求提供相應(yīng)的云主機(jī)、網(wǎng)絡(luò)、安全資源；負(fù)責(zé)維護(hù)整個(gè)云平臺(tái)的高可用運(yùn)行，負(fù)責(zé)確保單個(gè)云主機(jī)或者單個(gè)物理機(jī)的故障能夠自動(dòng)、快速、有效恢復(fù)正常；負(fù)責(zé)在出現(xiàn)風(fēng)險(xiǎn)事件時(shí)，配合客戶(hù)進(jìn)行基礎(chǔ)環(huán)境、主機(jī)環(huán)境、網(wǎng)絡(luò)環(huán)境、甚至應(yīng)用層面的故障排查、處置和恢復(fù)。數(shù)據(jù)資產(chǎn)的安全和保護(hù)貫徹?cái)?shù)據(jù)使用生命周期的各個(gè)環(huán)節(jié)，需要云資源使用方和云服務(wù)提供商共同維護(hù)、協(xié)同保障。2018 年 3 月 16 日，中國(guó)銀監(jiān)會(huì)發(fā)布了銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引（征求意見(jiàn)稿），要求銀行業(yè)金融機(jī)構(gòu)將數(shù)據(jù)治理納入公司治理范疇，并將數(shù)據(jù)治理情況與公司治理評(píng)價(jià)和監(jiān)

9、管評(píng)級(jí)掛鉤。明確鼓勵(lì)銀行業(yè)金融機(jī)構(gòu)開(kāi)展制度性探索，在公司設(shè)置首席數(shù)據(jù)官。強(qiáng)調(diào)銀行業(yè)金融機(jī)構(gòu)應(yīng)順應(yīng)大數(shù)據(jù)時(shí)代的需要，同時(shí)所有相關(guān)方均應(yīng)強(qiáng)化數(shù)據(jù)安全意識(shí)，依法合規(guī)采集數(shù)據(jù)，防止過(guò)度采集、濫用數(shù)據(jù)，切實(shí)依法保護(hù)客戶(hù)數(shù)據(jù)安全。自身風(fēng)險(xiǎn)管理“三道防線”中小銀行用戶(hù)從自身來(lái)說(shuō)，應(yīng)制定完善的風(fēng)險(xiǎn)管理和安全保障制度，依據(jù)監(jiān)管要求的“三道防線”的思路下設(shè)計(jì)整信息科技部門(mén)的風(fēng)險(xiǎn)管理體系架構(gòu)，包括信息科技管理、信息科技風(fēng)險(xiǎn)管理和信息科技審計(jì)管理。重點(diǎn)做好數(shù)據(jù)風(fēng)險(xiǎn)管理，建立人才培養(yǎng)和技能儲(chǔ)備機(jī)制，強(qiáng)化主動(dòng)管理風(fēng)險(xiǎn)能力。圖 9 中小銀行 IT 風(fēng)險(xiǎn)管理“三道防線”架構(gòu)對(duì)云服務(wù)商風(fēng)險(xiǎn)管理要求中小銀行用戶(hù)應(yīng)做好對(duì)云服務(wù)商的

10、監(jiān)督管理，建議從以下幾個(gè)方面對(duì)云服務(wù)商加強(qiáng)風(fēng)險(xiǎn)管理要求：（1）云服務(wù)商應(yīng)組織評(píng)估本機(jī)構(gòu)面臨風(fēng)險(xiǎn)狀況， 找出可能影響中小銀行用戶(hù)服務(wù)結(jié)果和服務(wù)承諾的風(fēng)險(xiǎn)要素，制定云服務(wù)商的風(fēng)險(xiǎn)管理策略。（2）云服務(wù)商應(yīng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估工作， 向中小銀行用戶(hù)提供本機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估的結(jié)論，并依此決定采取風(fēng)險(xiǎn)防范的措施和方法，對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理。（3）云服務(wù)商應(yīng)建立健全各項(xiàng)管理與內(nèi)控制度，設(shè)立專(zhuān)門(mén)風(fēng)險(xiǎn)管理崗位，監(jiān)督和檢查各項(xiàng)規(guī)范、制度、標(biāo)準(zhǔn)和流程的執(zhí)行情況以及風(fēng)險(xiǎn)管理狀況，持續(xù)監(jiān)督風(fēng)險(xiǎn)管理狀況，及時(shí)預(yù)警，將風(fēng)險(xiǎn)控制在可接受水平。（4）云服務(wù)商應(yīng)建立信息安全事件管理機(jī)制，定期向中小銀行用戶(hù)提供信息安全事件統(tǒng)計(jì)和跟蹤改進(jìn)的報(bào)告，重大信息安全事件應(yīng)隨時(shí)報(bào)告。變更和退出服務(wù)變更中小銀行上云后由于業(yè)務(wù)變化會(huì)經(jīng)常變更服務(wù)需求。中小銀行用戶(hù)發(fā)起服務(wù)變更請(qǐng)求，云服務(wù)商應(yīng)及時(shí)響應(yīng)，制定變更服務(wù)方案、實(shí)施計(jì)劃和恢復(fù)方案；提出服務(wù)內(nèi)容相匹配的服務(wù)內(nèi)容說(shuō)明及服務(wù)級(jí)別承諾；提出明確的時(shí)間計(jì)劃，并與中小銀行用戶(hù)充分協(xié)商，審核確認(rèn)，變更實(shí)施應(yīng)避開(kāi)銀行業(yè)務(wù)運(yùn)行敏感時(shí)間窗口。服務(wù)退出云服務(wù)由于情況變化、服務(wù)到期等原因中止或取消服務(wù)稱(chēng)為服務(wù)退出，服務(wù)退出可分為到期退出和提前退出。服務(wù)的退出應(yīng)滿(mǎn)足以下要求：（1）在服務(wù)協(xié)議/合同到期前，中小銀行