銀行上云白皮書

銀行上云白皮書前言前言近年來，隨著我國國民經(jīng)濟(jì)的持續(xù)健康發(fā)展，中小企業(yè)融資需求和新農(nóng)村建設(shè)需要的不斷增強(qiáng)，銀行紛紛成立，為地方經(jīng)濟(jì)建設(shè)提供了強(qiáng)有力的金融支持。與此同時，銀行自身信息化建設(shè)能力面臨很大挑戰(zhàn)，在資金和人員有限的情況下，在風(fēng)險必須可控的前提下，又快又好地建設(shè)銀行業(yè)務(wù)全系統(tǒng)和基礎(chǔ)設(shè)施成為銀行發(fā)展亟需解決的掣肘。目錄1.云算在融業(yè)現(xiàn)狀 1云算介 1云算義 1云算署型 1云算務(wù)式 2云算務(wù)與者 3云算展況 4云算場況 4（1）全云算場況 4（2）我云算場況 4我云算策境 6（1）云算觀策況 6（2）金行云算政策況 6云算金行用情況 7（1云算速融業(yè)互聯(lián)發(fā)展 7（2）金行云算模型 7（3）金行上情況 8銀行選云算意義 9銀行范疇 9銀行信科發(fā)瓶頸 9業(yè)要高 9人財短板 10運(yùn)管難大 10行云效力轉(zhuǎn)型 11運(yùn)成考慮 11監(jiān)合考慮 11業(yè)賦考慮 123.銀行云策架 134.銀行云準(zhǔn)備 14確上優(yōu)級可性方案 14優(yōu)級定則 14優(yōu)級議可方案 15（1）最優(yōu)級 16（2）次先級 16（3）中先級 16（4）低先級 18選合的服商 205.銀行云施 21服合制和署 21服方設(shè)和試 21方設(shè)計 21方測試 22服交付 23交方案 23交實(shí)施 23交評估 236.銀行云管理 23服質(zhì)監(jiān)管理 23風(fēng)管理 24責(zé)分模型 24自風(fēng)管理三防線” 26對服商險要求 26變和出 27服變更 27服退出 27附錄銀行上典案例 291.哈市商銀上例 292.南村鎮(zhèn)行云例 31PAGEPAGE181.云計算在金融行業(yè)應(yīng)用現(xiàn)狀云計算（CloudComputing）2006GoogleCEOEricSchmidt之口，自亞馬遜推出彈性計算云服務(wù)之后被廣泛傳播，最終成為定義當(dāng)前信息技IS/IEC標(biāo)準(zhǔn)化組織在4年發(fā)布的《dctg-Ovvwvocabulary》中給出了云計算的定義：云計算是一種以網(wǎng)絡(luò)方式接入到一個可擴(kuò)展、彈性的共享物理或虛擬資源池的服務(wù)模式，用戶可以通過自服務(wù)和管理的方（根據(jù)使用云計算平臺用戶范圍的不同，云資源歸屬和控制方的不同，一般將云計算分成私有云、公有云、行業(yè)云（社區(qū)云）和混合云等四種部署模型：（1）公有云。云服務(wù)可被任意云服務(wù)客戶使用，且資源被云服務(wù)提供者控制的一種云部署模型。公有云可由企業(yè)、研究機(jī)構(gòu)、政府組織，或幾者聯(lián)合擁有、管理和運(yùn)營。公有云在云服務(wù)提供者的場內(nèi)。一般情況下，公有云對參與方?jīng)]有限制。（2）私有云。云服務(wù)僅被一個云服務(wù)客戶使用，且資源被該云服務(wù)客戶控制的一類云部署模型。私有云可由云服務(wù)客戶自身或第三方擁有、管理和運(yùn)營。私有云可在云服務(wù)客戶的場內(nèi)或場外。云服務(wù)客戶出于自身利益考慮，還可為其他參與方授權(quán)訪問。一般情況下，私有云的客戶只局限于某個組織。（3）行業(yè)云（社區(qū)云。云服務(wù)僅由一組特定的云服務(wù)客戶使用和共享的一種云部署模型。這組云服務(wù)客戶的需求共享，彼此相關(guān)，且資源由組內(nèi)云服務(wù)客戶控制或云服務(wù)提供商控制。社區(qū)云可由社區(qū)里的一個或多個組織、第三方、或兩者聯(lián)合擁有、管理和運(yùn)營。社區(qū)云可在云服務(wù)客戶的場內(nèi)或場外。行業(yè)云局限于有共同關(guān)注點(diǎn)的行業(yè)內(nèi)客戶，這些共同關(guān)注點(diǎn)包括但不限于：業(yè)務(wù)需求、安全需求、政策符合性考慮等。（4）混合云。至少包含以上兩種不同云計算部署模型。（社區(qū)云（S在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件。用戶不需要購買、開發(fā)軟件，可利用不同設(shè)備上的用戶端（如WEB瀏覽器）或程序接口通過網(wǎng)絡(luò)訪問和使用云服務(wù)商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等。用戶通常不能管理或控制支撐應(yīng)用軟件運(yùn)行的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用軟件進(jìn)行有限的配置管理。（S在云基礎(chǔ)設(shè)施之上的軟件開發(fā)和運(yùn)行平臺，如：標(biāo)準(zhǔn)語言與工具、數(shù)據(jù)訪問、通用接口等。用戶可利用該平臺開發(fā)和部署自己的軟件。用戶通常不能管理或控制支撐平臺運(yùn)行所需的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置，控制自己部署的應(yīng)用。（（ISIS算機(jī)、存儲、網(wǎng)絡(luò)等計算資源，提供訪問云基礎(chǔ)設(shè)施的服務(wù)接口。用戶可在這些資源上部署或運(yùn)行操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用軟件等。用戶通常不能管理或控制云基礎(chǔ)設(shè)施，但能控制自己部署的操作系統(tǒng)、存儲和應(yīng)用，也能部分控制使用的網(wǎng)絡(luò)組件。云計算服務(wù)的參與者可以分為：用戶、云服務(wù)商、審計者、云服務(wù)代理和網(wǎng)絡(luò)運(yùn)營商。（1）用戶：即云計算資源消費(fèi)者，使用云服務(wù)商提供的云服務(wù)。（2）云服務(wù)商：向用戶提供可用的云計算服務(wù)的組織或?qū)嶓w。（3）審計者：能夠?qū)υ朴嬎惴?wù)及云計算實(shí)例的信息系統(tǒng)操作、能和安全性進(jìn)行中立評估的機(jī)構(gòu)或?qū)嶓w。（4）云服務(wù)代理：管理云計算服務(wù)的使用、性能以及交付的實(shí)體，它能夠協(xié)調(diào)云服務(wù)商和用戶之間關(guān)系。（5）網(wǎng)絡(luò)運(yùn)營商：為云服務(wù)商提供鏈接和傳輸網(wǎng)絡(luò)資源的實(shí)體。1數(shù)據(jù)來源：Gartner61數(shù)據(jù)來源：Gartner6年以IPS和S.8.0.。（2）我國云計算市場情況我國云計算市場總體保持高速增長趨勢。根據(jù)中國信息通信研究院的《中國（2017年（2017年》統(tǒng)69..152017-20202020.618.，預(yù)計7.5圖2中國公有云市場規(guī)模及增速（單位：億元人民幣）圖3中國私有云市場規(guī)模及增速（單位：億元人民幣）1此處私有云統(tǒng)計口徑為傳統(tǒng)私有云定義（1）云計算宏觀政策情況支持云計算發(fā)展的政策相繼出臺，政策環(huán)境持續(xù)利好。近年來，國內(nèi)云計算發(fā)展政策集中出臺，我國云計算產(chǎn)業(yè)發(fā)展、行業(yè)推廣、應(yīng)用基礎(chǔ)等重要環(huán)節(jié)的宏觀政策環(huán)境已經(jīng)基本形成。國家層面相繼出臺以下政策：20151國發(fā)〔20155）201552015720158（國發(fā)(2015)50）20173（2017-2019》（2）金融行業(yè)云計算相關(guān)政策情況同時，金融行業(yè)對云計算發(fā)展的政策環(huán)境也在逐步完善中。（征求意見稿）支持金融行業(yè)行業(yè)云。除了金融私有云之外，提出“行業(yè)公共云”模型，支持建立符合法律法規(guī)要求、市場化運(yùn)作、具備金融級安全等級的行業(yè)云平臺運(yùn)營機(jī)制。（1）云計算加速金融行業(yè)“互聯(lián)網(wǎng)+”發(fā)展IT大大縮短應(yīng)用部署時間、實(shí)現(xiàn)故障自動檢測定位以及業(yè)務(wù)升級不中斷，從而更好（2）金融行業(yè)云計算部署模型國內(nèi)傳統(tǒng)金融機(jī)構(gòu)使用云計算技術(shù)主要采用有私有云和行業(yè)云兩種部署模型。金融行業(yè)按照業(yè)務(wù)又可以細(xì)分為銀行業(yè)、證券業(yè)、保險行業(yè)、互聯(lián)網(wǎng)金融等子市場。對于傳統(tǒng)的金融機(jī)構(gòu)，尤其是銀行業(yè)主要采用私有云和行業(yè)云的方式，這與金融機(jī)構(gòu)部署私有云主要用于存儲、運(yùn)行重要業(yè)務(wù)系統(tǒng)，存儲敏感數(shù)據(jù)，一般采用自建基礎(chǔ)設(shè)施、購買硬件產(chǎn)品和解決方案的方式搭建，在生產(chǎn)過程中實(shí)施外包駐場運(yùn)維、自主運(yùn)維。源等方面的共享，在金融行業(yè)內(nèi)形成公共基礎(chǔ)設(shè)施、公共接口、公共應(yīng)用等一批技術(shù)公共服務(wù)。金融機(jī)構(gòu)部署行業(yè)云主要用于對金融機(jī)構(gòu)外部客戶的數(shù)據(jù)處理、服務(wù)，或?yàn)橐欢▍^(qū)域內(nèi)金融機(jī)構(gòu)、金融機(jī)構(gòu)垂直機(jī)構(gòu)提供資源共享服務(wù)。（3）金融行業(yè)上云情況互聯(lián)網(wǎng)金融和輔助性業(yè)務(wù)系統(tǒng)較多首先上云。目前，金融機(jī)構(gòu)使用云計算技系統(tǒng)和經(jīng)營管理等輔助性系統(tǒng)嘗試使用云計算，從而提升系統(tǒng)管理的靈活性，降P2P、消費(fèi)金融等相關(guān)業(yè)務(wù)，由于其系統(tǒng)需要新建，歷史包袱相對較輕，并且天然的互圖4金融機(jī)構(gòu)上云系統(tǒng)情況不同類型的金融機(jī)構(gòu)對云計算的應(yīng)用路徑也存在較大差異，不能一概而論。比如大型銀行由于傳統(tǒng)信息化基礎(chǔ)設(shè)施投入大、有專職技術(shù)部門、安全要求更加謹(jǐn)慎等原因，一般選擇沿用采購軟硬件產(chǎn)品自行搭建私有云并獨(dú)立運(yùn)維，而銀行由于“缺錢少人”等原因一般不會選擇私有云部署模型，更傾向選擇行業(yè)云。銀行是現(xiàn)代化金融發(fā)展歷程中重要的一類金融機(jī)構(gòu)，其具有相同或類似業(yè)務(wù)需求和政策特性，本白皮書將著重聚焦銀行上云，重點(diǎn)分析銀行上銀行選擇云計算的意義2業(yè)務(wù)壓力大，信息化建設(shè)能力不足。銀行是一個嚴(yán)格意義上的銀行，擁有全牌照，有權(quán)進(jìn)行全業(yè)務(wù)拓展，經(jīng)過監(jiān)管機(jī)構(gòu)審批后，可以開展銀行卡業(yè)務(wù)、網(wǎng)上銀行業(yè)務(wù)和國際業(yè)務(wù)等。銀行為提升自身市場競爭能力，需持續(xù)進(jìn)行新業(yè)務(wù)系統(tǒng)的研發(fā)和建設(shè)，這對銀行信息化建設(shè)能力帶來較大的挑戰(zhàn)。2引用《銀行信息系統(tǒng)托管維護(hù)服務(wù)規(guī)范》GB/T0140-2017中關(guān)于銀行的定義“缺錢少人”是銀行發(fā)展信息科技的最主要瓶頸。與經(jīng)濟(jì)實(shí)力雄厚的國有四大銀行以及各大股份制銀行相比，缺錢少人的銀行在信息化建設(shè)上常常感到力不從心。由于資金短缺和人才匱乏，這就使得很多銀行在業(yè)務(wù)的拓展和創(chuàng)新上受到嚴(yán)重制約。圖5大型銀行與銀行科技投入對比（數(shù)據(jù)來源：麥肯錫）系統(tǒng)運(yùn)維和信息管理工作相對復(fù)雜，難以應(yīng)對。即使銀行的信息化建設(shè)能夠跟的上業(yè)務(wù)發(fā)展的需求，隨著業(yè)務(wù)的創(chuàng)新和拓展，金融服務(wù)能力要求會越來越高，信息系統(tǒng)數(shù)量會越來越多，復(fù)雜程度也越來越高，管理和整合的難度自然也就也越來越大。隨著風(fēng)險管理的全面展開及深入，加上信息化建設(shè)自身在發(fā)展過程中所凸顯的風(fēng)險，以及信息安全等諸多因素的影響，勢必造成管理難度越來越大，風(fēng)險暴露越來越明顯。IT銀行面對較為嚴(yán)格的監(jiān)管合規(guī)要求，在云服務(wù)部署模型選擇上必須慎重考慮。行業(yè)云可以滿足監(jiān)管的要求，普通公有云往往難以滿足監(jiān)管要求。部分銀行業(yè)監(jiān)管要求規(guī)范如下：J/T1—4 J/T4—8 J/T0—7 （銀發(fā)〔2010〕276）2009〕19）銀監(jiān)發(fā)〔2010〕114）（2011〕104）（20135）不同云計算部署模型對于業(yè)務(wù)本身的提升效果也存在區(qū)別，行業(yè)云優(yōu)勢較為明顯。一方面，面向金融行業(yè)的行業(yè)云業(yè)務(wù)產(chǎn)品更加有針對性，能夠有為金融業(yè)務(wù)定制資源配比、針對市場需求優(yōu)化金融類產(chǎn)品和服務(wù)。另一方面，業(yè)務(wù)部署周IT圖6銀行選擇云服務(wù)部署模型雷達(dá)圖(來源:中國信息通信研究院)如上圖所示，綜合上述考慮，行業(yè)云在在運(yùn)營成本、監(jiān)管合規(guī)和業(yè)務(wù)賦能三方面均表現(xiàn)較好，在本白皮書中，我們推薦“金融行業(yè)云”作為普通銀行的上云首選部署模型，后文中關(guān)于銀行的上云分析均默認(rèn)為行業(yè)云部署模型。3.銀行上云決策框架ITIT品化的計算資源和服務(wù)。這種全新的思維方式對整個IT服務(wù)的生命周期都產(chǎn)生了重大影響。本白皮書提出了銀行上云的決策框架，從上云前準(zhǔn)備、上云實(shí)施到上云后管理三個流程提出決策建議。供計劃實(shí)施的有關(guān)單位參考。表1銀行上云決策框架上云前準(zhǔn)備上云實(shí)施上云后管理確定上云優(yōu)先級和可行性方案選擇合適的云服務(wù)商服務(wù)合同制定和簽署服務(wù)方案設(shè)計和測試服務(wù)交付服務(wù)質(zhì)量監(jiān)督管理風(fēng)險管理變更和退出4.銀行上云前準(zhǔn)備確定上云優(yōu)先級是銀行上云的第一步工作，也是最重要的工作。銀行IT將適合云化部署且準(zhǔn)備比較充分的服務(wù)置于首選地位，以使上云帶來的收益最大化、成本最小化。銀行因資產(chǎn)規(guī)模區(qū)別，業(yè)務(wù)系統(tǒng)種類和數(shù)量一般也存在較大差異，資產(chǎn)規(guī)模較大的股份制商業(yè)銀行和城市商業(yè)銀行業(yè)務(wù)系統(tǒng)通常比較豐富，而銀行中資產(chǎn)規(guī)模最小的村鎮(zhèn)銀行因盈利能力較弱，系統(tǒng)較少?？傮w來說，銀行業(yè)信息最高優(yōu)先次高優(yōu)先中優(yōu)先最高優(yōu)先次高優(yōu)先中優(yōu)先低優(yōu)先圖7銀行業(yè)信息系統(tǒng)成本收益比、安全保護(hù)要求、監(jiān)管機(jī)構(gòu)管理要求、應(yīng)用系統(tǒng)上云難度是確定業(yè)務(wù)系統(tǒng)上云優(yōu)先級的主要考量因素。通常來說，確定上云優(yōu)先級有幾個參考原則。一是對于需新部署的業(yè)務(wù)系統(tǒng)，且云服務(wù)商已有與之相對應(yīng)的比較成熟的業(yè)務(wù)，從價值收益的角度建議不分業(yè)務(wù)類型，都首選云服務(wù)；二是已有信息化系統(tǒng)，上云后價值效益明顯的，也建議盡快上云，尤其像訪問流量有突發(fā)變化特征或?qū)?shù)據(jù)融合處理有較高要求的系統(tǒng)，上云后能夠帶來明顯的效益提升;三是對于已有信息化系統(tǒng)，按照非核心系統(tǒng)和核心系統(tǒng)的區(qū)分確定優(yōu)先級，先上非核心系統(tǒng)，后上核心系統(tǒng)。如前文所述，對于新開業(yè)的銀行或銀行需要新開發(fā)部署業(yè)務(wù)系統(tǒng)，建議直接采用云計算部署架構(gòu)，根據(jù)業(yè)務(wù)需求逐步部署業(yè)務(wù)系統(tǒng)。下文重點(diǎn)分析銀行已有信息化系統(tǒng)遷移上云應(yīng)如何確定優(yōu)先級。綜合成本收益比、安全保護(hù)要求、監(jiān)管機(jī)構(gòu)管理要求、應(yīng)用系統(tǒng)上云難度等多方面考慮，本白皮書給出銀行業(yè)務(wù)系統(tǒng)遷移上云的優(yōu)先級推薦建議，圖7中綠色、黃色、橙色、紅色代表各類系統(tǒng)上云優(yōu)先級從高至低，分別為：最高優(yōu)（（（（有所調(diào)整策略。（1）最高優(yōu)先級7ISM”的（2）次優(yōu)先級7可行性方案：基礎(chǔ)服務(wù)類應(yīng)用系統(tǒng)和非面向互聯(lián)網(wǎng)的服務(wù)類應(yīng)用系統(tǒng)具有一定的上云改造要求，但是基本上只是接口模式或者數(shù)據(jù)對接類的改造，應(yīng)用架構(gòu)沒有太大改變。（3）中優(yōu)先級圖7中橙色系統(tǒng)，是面向互聯(lián)網(wǎng)服務(wù)類的應(yīng)用系統(tǒng)、渠道類應(yīng)用系統(tǒng)以及部A/POS可行性方案：此類信息在上云改造時要考慮分布式架構(gòu)改造、分布式存儲的選擇、SaaS多租戶模式改造和信息安全問題四個方面。X86X86Web的Hadoop/MPPOLTPSaaSSLA保證、信息安全此類信息系統(tǒng)的原有安全要求已經(jīng)比較高，公安部具有三級等保的要求，銀監(jiān)會有每年的安全風(fēng)險檢查和安全風(fēng)險評估要求，人民銀行有渠道類系統(tǒng)的上線檢查要求等。即使上云后，云服務(wù)提供商或者銀行自建的云服務(wù)系統(tǒng)均應(yīng)滿足其對應(yīng)的監(jiān)管要求。另外，共享資源池可能引起的全局故障、多租戶環(huán)境的安全隔離不完全、多系統(tǒng)共存和資源池的動態(tài)化導(dǎo)致的安全策略的復(fù)雜性、虛擬化技術(shù)帶來的新安全威脅和入侵點(diǎn)、虛擬機(jī)的剩余信息保護(hù)、虛擬資源內(nèi)部之間的安全管控等由上云導(dǎo)致的新問題均應(yīng)充分考慮，可以參考可信云評估的要求在數(shù)據(jù)私密性、數(shù)據(jù)存儲持久性等方面達(dá)到相應(yīng)的要求。（4）低優(yōu)先級7IOEITSaaS多租戶中”模式；二是采用A（IT在改造過程中，可以考慮將原有的核心系統(tǒng)改造需求納入開發(fā)范圍，以實(shí)現(xiàn)IT可控要求，最終實(shí)現(xiàn)科技引領(lǐng)業(yè)務(wù)轉(zhuǎn)型與發(fā)展的目標(biāo)。銀行在選擇云服務(wù)商時應(yīng)充分考慮云服務(wù)商的服務(wù)能力、穩(wěn)定性等風(fēng)險，建立云服務(wù)商的準(zhǔn)入標(biāo)準(zhǔn)，不因引入云服務(wù)商而增加整體風(fēng)險。銀行選擇云服務(wù)商應(yīng)遵循以下基本原則：（。（2）云服務(wù)商應(yīng)滿足監(jiān)管機(jī)構(gòu)的準(zhǔn)入要求。（3）銀行應(yīng)審查、評估候選云服務(wù)商的財務(wù)穩(wěn)定性和行業(yè)經(jīng)驗(yàn)，對候選云服務(wù)商進(jìn)行風(fēng)險評估，考查其資源和能力是否足以承擔(dān)相應(yīng)的責(zé)任，防范引入高風(fēng)險特性的云服務(wù)商。（4）銀行應(yīng)對重點(diǎn)云服務(wù)商開展盡職調(diào)查，必要時可委托第三方評估機(jī)構(gòu)協(xié)助調(diào)查和評估，應(yīng)關(guān)注：——云服務(wù)商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場評價、監(jiān)管評價等；——云服務(wù)商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具、數(shù)據(jù)管理和訪問控制方面的能力等；——云服務(wù)商的持續(xù)經(jīng)營狀況，包括但不限于：財務(wù)狀況、從業(yè)時間、市場地位及發(fā)展趨勢等。5.銀行上云實(shí)施銀行需確保與云服務(wù)商簽訂規(guī)范的服務(wù)合同，將有助于提升服務(wù)質(zhì)量，（A重點(diǎn)關(guān)注云服務(wù)商的服務(wù)可用性、數(shù)據(jù)存儲持久性、資源調(diào)配能力、網(wǎng)絡(luò)接入能SLA中簽訂的能力要求在后續(xù)實(shí)施和管理過程中自行或委托第三方對云服務(wù)商進(jìn)行評估考核。云服務(wù)商應(yīng)依據(jù)云服務(wù)目標(biāo)和服務(wù)級別協(xié)議進(jìn)行云服務(wù)方案的設(shè)計，服務(wù)方案應(yīng)涉及與云服務(wù)相關(guān)的資源配備、人力配備和管理要求。管理要求應(yīng)涵蓋組織管理、范圍管理、質(zhì)量管理、溝通管理、時間管理、風(fēng)險管理、財務(wù)預(yù)算管理、技術(shù)管理、文檔管理及其他資源管理，也應(yīng)涉及測試驗(yàn)證流程、技術(shù)實(shí)施流程、服務(wù)交付流程、日常維護(hù)流程、應(yīng)急處置與災(zāi)難恢復(fù)流程、驗(yàn)收考核流程等各個方面。需要特別強(qiáng)調(diào)的是，除上線新業(yè)務(wù)外，很大部分工作在于存量業(yè)務(wù)應(yīng)用的遷（工業(yè)和信息化部電信研究院B14421（checklistofcontractualissuesrelatingtocloudoputin》后撰寫。移，如何有序、安全、便捷地進(jìn)行遷移，保證業(yè)務(wù)的可用性、安全性、連續(xù)性是4章第.1（1）業(yè)務(wù)系統(tǒng)遷移的優(yōu)先級及可行性方案;（2）相應(yīng)業(yè)務(wù)系統(tǒng)的資源使用規(guī)劃和架構(gòu)，包括計算、存儲、網(wǎng)絡(luò)等;（3）相應(yīng)的業(yè)務(wù)系統(tǒng)的運(yùn)維管理模式，服務(wù)商和銀行的權(quán)責(zé)劃分等。云服務(wù)商在服務(wù)資源、人員和管理方面準(zhǔn)備就緒后應(yīng)測試并驗(yàn)證服務(wù)方案的完備性。測試和驗(yàn)證應(yīng)滿足以下要求：云服務(wù)商向銀行用戶提交詳細(xì)的服務(wù)交付方案，包括服務(wù)交付時間、交付方式、交付人員、交付技術(shù)手段、交付文檔、交付培訓(xùn)、交付驗(yàn)收標(biāo)準(zhǔn)和流程等，銀行用戶應(yīng)對服務(wù)交付方案進(jìn)行評審并與云服務(wù)商達(dá)成一致。銀行用戶應(yīng)對云服務(wù)商提交的服務(wù)管理計劃進(jìn)行評審，并在服務(wù)交付過服務(wù)交付完成后，云服務(wù)商應(yīng)向銀行提交服務(wù)交付報告，銀行可以組織第三方對遷移后的業(yè)務(wù)和云平臺進(jìn)行評估驗(yàn)收。詳細(xì)記錄服務(wù)交付的關(guān)鍵信息，如工作任務(wù)、所需資源、進(jìn)展?fàn)顟B(tài)、負(fù)責(zé)和參與人員、完成時間、存在的問題、解決方案等，銀行應(yīng)組織相關(guān)人員對報告進(jìn)行評審，通過后上線。6.銀行上云后管理上云成功后，云計算廠商接受銀行用戶或受委托的第三方機(jī)構(gòu)對云服務(wù)銀行用戶管理云系統(tǒng)需要將云服務(wù)商、審計者和最終用戶都考慮進(jìn)來，將關(guān)注的側(cè)重點(diǎn)聚焦于服務(wù)而非資產(chǎn)。需要有效地管理云服務(wù)商的輸出過程(例如IT,圖8銀行用戶和服務(wù)提供商責(zé)任分擔(dān)模型在IS云資源使用方主要負(fù)責(zé)：提交云資源配置需求并正常使用云服務(wù)提供商提供的云主機(jī)、網(wǎng)絡(luò)、安全策略等；按照本公司的風(fēng)險管理要求進(jìn)行云服務(wù)器和網(wǎng)絡(luò)的變更，避免人為失誤或方案疏忽等因素造成影響單個應(yīng)用或整個云平臺的風(fēng)險事件。2018316（征求意見稿，要求銀行業(yè)金融機(jī)構(gòu)將數(shù)據(jù)治理納入公司治理范疇，并將數(shù)據(jù)治理情況與公司治理評價和監(jiān)管評級掛鉤。明確鼓勵銀行業(yè)金融機(jī)構(gòu)開展制度性探索，在公司設(shè)置首席數(shù)據(jù)官。強(qiáng)調(diào)銀行業(yè)金融機(jī)構(gòu)應(yīng)順應(yīng)大數(shù)據(jù)時代的需要，同時所有相關(guān)方均應(yīng)強(qiáng)化數(shù)據(jù)安全意識，依法合銀行用戶從自身來說，應(yīng)制定完善的風(fēng)險管理和安全保障制度，依據(jù)監(jiān)圖9銀行IT風(fēng)險管理“三道防線”架構(gòu)銀行用戶應(yīng)做好對云服務(wù)商的監(jiān)督管理，建議從以下幾個方面對云服務(wù)商加強(qiáng)風(fēng)險管理要求：（1）云服務(wù)商應(yīng)組織評估本機(jī)構(gòu)面臨風(fēng)險狀況，找出可能影響銀行用戶服務(wù)結(jié)果和服務(wù)承諾的風(fēng)險要素，制定云服務(wù)商的風(fēng)險管理策略。（2）云服務(wù)商應(yīng)定期開展風(fēng)險評估工作，向銀行用戶提供本機(jī)構(gòu)風(fēng)險評估的結(jié)論，并依此決定采取風(fēng)險防范的措施和方法，對風(fēng)險進(jìn)行分級管理。銀行上云后由于業(yè)務(wù)變化會經(jīng)常變更服務(wù)需求。銀行用戶發(fā)起服務(wù)變更請求，云服務(wù)商應(yīng)及時響應(yīng)，制定變更服務(wù)方案、實(shí)施計劃和恢復(fù)方案；提出服務(wù)內(nèi)容相匹配的服務(wù)內(nèi)容說明及服務(wù)級別承諾；提出明確的時間計劃，并與云服務(wù)由于情況變化、服務(wù)到期等原因中止或取消服務(wù)稱為服務(wù)退出，服務(wù)退出可分為到期退出和提前退出。服務(wù)的退出應(yīng)滿足以下要求：（1）在服務(wù)協(xié)議/合同到期前，銀