金融数据中心能力建设指引

ICS35.240.40 CCSA11 JR 中华人民共和国金融行业标准 JR/T0265—2023 金融数据中心能力建设指引 Guidelinesforfinancialdatacentercapacitybuilding 2023-07-25发布2023-07-25实施 中国人民银行发布 目次 前言II 1范围1 2规范性引用文件1 3术语和定义1 4缩略语2 5总则2 6数据中心治理3 7场地环境8 8网络通信13 9运行管理16 10风险管控17 参考文献20 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国人民银行科技司提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 II 金融数据中心能力建设指引 1范围 本文件规定了金融数据中心治理、场地环境、网络通信、运行管理和风险管控的能力要求。本文件适用于金融数据中心建设与管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 50116 火灾自动报警系统设计规范 GB 50140 建筑灭火器配置设计规范 GB 50174 数据中心设计规范 GB 50222 建筑内部装修设计防火规范 GB 50223 建筑工程抗震设防分类标准 GB 50370 气体灭火系统设计规范 GB 50462 数据中心基础设施施工及验收规范 GB 50981 建筑机电工程抗震设计规范 GB/T33136信息技术服务数据中心服务能力成熟度模型JGJ339非结构构件抗震设计规范 JR/T0071.2金融行业网络安全等级保护实施指引第2部分：基本要求JR/T0166云计算技术金融应用规范技术架构 JR/T0167云计算技术金融应用规范安全技术要求JR/T0168云计算技术金融应用规范容灾 ISO/IEC20000-2信息技术服务管理第2部分：服务管理体系应用指南（Informationtechnology—Servicemanagement—Part2:Guidanceontheapplicationofservicemanagementsystems） 3术语和定义 下列术语和定义适用于本文件。 3.1 数据中心datacenter 由计算机场地（机房）、机房基础设施、信息系统硬件（物理和虚拟资源）、信息系统软件、信息 资源（数据）和人员以及相应的规章制度组成的组织。[来源：GB/T33136，3.1.1，有修改] 3.2 金融数据中心financialdatacenter 支持金融服务的数据中心。 3.3 治理域governancedomain 按照特定层次、功能划分的治理范围。[来源：GB/T34960.1，3.4，有修改] 3.4 建筑机电工程设施buildingmechanicalandelectricalequipmentengineeringfacilities 建筑中为建筑使用功能服务的附属机械、电气构件、部件和系统等。[来源：GB50981，2.1.4，有修改] 4缩略语 下列缩略语适用于本文件。 ACL：访问控制列表（AccessControlList）CPU：中央处理器（CentralProcessingUnit） IOPS：每秒进行读写操作的次数（Input/OutputOperationsPerSecond）IP：互联网协议（InternetProtocol） IPv6：互联网协议第6版（InternetProtocolVersion6）PDU：电源分配单元（PowerDistributionUnit） PCIe：高速串行计算机扩展总线（PeripheralComponentInterconnectexpress）RADIUS：用户远程拨入认证服务（RemoteAuthenticationDialInUserService）UPS：不间断电源系统（UninterruptiblePowerSystem） VLAN：虚拟局域网（VirtualLocalAreaNetwork） 5总则 5.1概述 本文件以描述金融数据中心的治理域内容为基础，从金融数据中心建设、运营及安全保障的角度出发，逐一描述场地环境、网络通信、运行管理和风险管控等能力域的具体管理要求，金融数据中心能力域具体架构见图1。承载金融云的数据中心建设在满足本文件要求的基础上，也应满足JR/T0166、JR/T0167和JR/T0168等系列标准的相关要求。 图1金融数据中心能力域架构图 5.2要求 金融数据中心能力建设的要求分为基本要求和增强要求。基本要求是在满足相关国家标准要求的前提下，根据金融行业的特性所提出的适应性要求；增强要求是为鼓励金融数据中心进一步提升安全稳定运行能力，在新技术应用、低碳环保、节能增效、业务连续性等方面提出的要求。 5.3基本原则 金融数据中心能力建设在规划、建设、运行过程中的基本原则如下。 a）统一规划，安全可靠。各类金融机构在各级数据中心的生命周期内开展相关工作的能力建设，在提升金融机构自身管理水平的同时，提高金融数据中心的安全可靠性。 b）技术先进，平稳运行。汲取国际、国家相关标准经验，打造金融行业领域的特色标准，保障金融数据中心在全生命周期内质量可控、稳定运行。 c）经济适用，节能环保。根据金融机构自身情况和对数据中心的使用需求，合理控制各级数据中心的建设及运行成本，并努力达到节能环保的目标。 6数据中心治理 6.1概述 数据中心治理是金融数据中心能力建设的必要组成部分，其框架应包括治理的实施过程和治理域，金融数据中心治理框架见图2。金融数据中心组织应按照治理的实施过程，以治理域为对象，开展数据中心治理，应明确场地环境、网络通信等基础设施的管理要求，建立基础设施建设、采购、实施和运维机制，制定基础设施管理策略和方法，评估、指导、监督和改进基础设施相关的管理机制和服务能力。 图2金融数据中心治理框架 6.2战略管控 6.2.1战略规划 金融数据中心战略规划的基本要求包括以下内容。 a）应包括愿景陈述、规划范围、现状分析、战略相关方、发展规划、职责分工及风险分析等内容。 b）应结合行业管理要求、业务发展规划、金融科技发展趋势等，开展战略需求评估。c）应识别金融数据中心战略的相关方，战略应与相关方达成一致。 d）应对当前和未来面临的内外部形势及技术发展趋势进行分析研究，体现创新理念。e）当内外部环境发生重大变化时，应对战略规划进行评估，根据评估结果改进战略。金融数据中心战略规划的增强要求包括以下内容。 a）宜规划战略执行评估及考核机制。 b）宜形成金融数据中心战略文档并经审批后正式发布，带动形成良好的组织文化。 6.2.2战略实施 金融数据中心战略实施的基本要求包括以下内容。 a）应落实金融数据中心战略实施过程中的组织、资源、工具等保障措施。 b）应根据战略规划及业务目标，明确职责分工，做好工作任务的分解和阶段性工作计划的制定。c）应持续监督战略实施状态，定期回顾总结并结合战略实施目标及时调整实施策略。 金融数据中心战略实施的增强要求包括宜对战略实施工作任务充分评估分析，包括成本分析、时间进度分析、风险分析、投入与收益分析等，依据分析结果确定任务优先级并合理配置资源。 6.2.3战略评估 金融数据中心战略评估的基本要求包括应定期对金融数据中心战略实施情况进行评估并根据评估结果持续优化，指导战略实施工作的有效开展。评估内容应涵盖目标达成程度、实施效果、与规划的偏差分析等方面。 金融数据中心战略评估的增强要求包括以下内容。 a）宜针对金融数据中心战略实施建立系统完整的评估准则，明确评估方法。 b）宜采取量化分析、统计等方法，从成本、效益、时间、风险等角度对整体战略实施情况开展成本效益评估并根据评估结果及内外部环境变化，对中长期战略规划进行调整。 6.3组织建设 6.3.1组织架构 金融数据中心组织架构的基本要求包括以下内容。 a）应明确金融数据中心组织架构中各机构（部门）的职能、岗位和职责，确保责任、权利的一致。b）应监督和评估组织架构中各机构（部门）的组织能力和运行绩效，并持续改进。 金融数据中心组织架构的增强要求包括宜根据发展战略目标、组织架构现状和内外部环境变化，对职能、岗位和职责等进行调整和优化。 6.3.2人力资源管理 金融数据中心人力资源管理的基本要求包括以下内容。a）应配备符合金融数据中心运行和发展需要的人员。 b）特定岗位专业技术人员应根据行业管理要求具备相应岗位执业资格证书或专业技术证书。c）应根据岗位能力要求对人员实施培训和经验分享，不断提高金融数据中心人员能力。 金融数据中心人力资源管理的增强要求包括以下内容。 a）宜制定适合金融数据中心发展要求的人力资源战略规划，制定并执行人员职业发展规划。 b）宜建立覆盖管理、技术、安全、运营等方面的团队，建立绩效考核机制和薪酬福利管理体系。c）宜建立人力资源风险管控机制，识别人员管理中的风险，采取适当措施预防风险发生，包括对涉密及敏感岗位加强风险监测、关键岗位实行备岗制、规范人员离岗（职）交接流程等。 6.3.3组织文化管理 金融数据中心组织文化管理的基本要求包括以下内容。 a）应结合内外部环境及金融数据中心愿景与战略，明确组织文化建设的发展方向和期望目标。b）应对组织文化建设效果进行回顾并持续改进，对组织文化建设提供必要的支持。 金融数据中心组织文化管理的增强要求包括宜构建系统的组织文化理念体系和行为规范体系，并进行内外部宣传和培训。 6.4制度建设 6.4.1制度体系规划 金融数据中心制度体系规划的3个层次包括以下内容。 a）基本制度与政策类：依据行政法规、行业主管部门规章所作的原则性、导向性、框架性的规范文件。 b）管理办法与规定类：根据基本制度与政策，对管理职责、方法、流程等方面提出要求的制度。c）操作规范与实施细则类：为落实管理办法与规定中的各项管理要求，所制定的详细说明、工具 手册、操作模板、参考标准等。 金融数据中心制度体系规划的基本要求包括制度体系应覆盖场地环境管理、网络通信管理、运行管理、风险管控等领域。 6.4.2制度制定 金融数据中心制度制定的基本要求包括以下内容。 a）应符合国家和行业主管部门的要求，保证制度的规范性和严肃性，并根据业务发展和金融数据中心的管理需要，制定、修订或废止相关制度。 b）应从金融数据中心建设实际出发，确保制度的前瞻性和可操作性。 6.4.3制度实施 金融数据中心制度实施的基本要求包括以下内容。 a）应严格遵守审批制度、履行审批流程，审批完毕后予以发布实施。b）应组织开展管理制度相关培训和宣传并检查管理制度的执行情况。 6.4.4制度评估 金融数据中心制度评估的基本要求包括应结合内外部环境、合规要求、管理需要、实施情况等，对制度进行评估并持续修订，保障制度有效性。 金融数据中心制度评估的增强要求包括制度归口管理部门宜对其归口管理的制度进行定期评估，根据评估结论拟定相应制度的修订、废止或制定新制度的计划，以实现制度的持续优化。 6.5流程规范管理 6.5.1流程规范规划 金融数据中心流程规范规划的基本要求包括应结合实际情况，建立风险管理、信息安全管理、业务连续性管理、事件管理、问题管理、变更管理等流程规范，落实生产管理要求并在实践运行中及时优化调整。 金融数据中心流程规范规划的增强要求包括以下内容。a）宜逐步建立服务目录，开展所辖资源的台账化管理。 b）宜建立服务请求管理、服务级别管理、配置管理、供应商管理、知识管理、创新管理等流程规范。