面向合规的金融数据中心租赁要点分析
- 2021/9/6 8:10:00 作者: 来源:酷扯儿
-
传统上来讲,金融行业普遍以自建为主。但随着业态的变化、技术的发展以及数字化转型的加速,数据中心建设和交付时间更加迫切,部署更弹性。因此,除了自建以外租用数据中心成为了另一个可行的选择。
No.01
金融数据中心(FDC)租赁合规性回顾
合规溯源1:人行金标委规范
人行金标委JR/T0140-2017《中小银行信息系统托管维护服务规范》第4.2条指出:托管维护服务范围和类型包括:基础设施、基础架构、应用系统和数据等有选择地托管于受托机构的物理场所。
托管维护服务分为以下三种类型:基础设施级托管、基础架构级托管、应用系统级托管。
基础设施级指风、火、水、电等机房基础设施及其物理环境;基础架构级指操作系统、数据库、中间件、存储、网络等;应用系统级的托管适用于金融同行机构之间,运营商、第三方、独立的IDC很难做到。
合规溯源2:银监会业务连续性监管指引
银监办【2010】114号《商业银行数据中心监管指引》第四十二条数据中心服务外包一般包括:
(一)基础设施类:外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。
(二)运营维护类:外包服务商向商业银行提供数据中心信息系统或基础设施的日常运行、维护等服务。
很多出租方都以用户为中心的理念,仅仅以用户提出来的需求是不足够的。数据中心作为数字化的基石,为上层的IT服务,IT是为应用和业务服务。因而,各方面的租赁要求是由上层传导下来。基础设施也是为了支撑确保IT系统、应用系统、业务系统的连续性运行。所以金融行业更多的是强调业务连续性。最主要的是业务RTO、业务RPO。
第二十五条:商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本,结合业务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO),原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。
合规溯源3:银监会外包风险监管指引
银监发【2013】5号《银行业金融机构信息科技外包风险监管指引》第七十二条:银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,如果其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构。
(一)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。同时:
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十四条第(三)点:承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准,即国标A级。
合规溯源4:银监会银行业外包风险监管文件
●银监发【2010】44号《银行业金融机构外包风险管理指引》
●银监办发【2014】187号《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》
●银监办发【2014】272号《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》
No.02
有获批案例,是合规可行的
部分银行同业租用和托管服务案例
金融机构租用数据中心案例:
兴业银行提供给同业包括应用系统级、基础架构级和基础设施级托管服务。
近年,某互联网银行(同城双活、异地灾备)租用GDS某IDC(500个机柜)、越秀金控租用广州某IDC数据中心、广东农信租用广州某IDC数据中心作为生产副中心(400个机柜)、华兴银行租用广州某IDC数据中心、广东南粤合建租用科学城某数据中心等。
No.03
面向合规的租赁流程
No.04
合规租赁要点与分析
No.05
租赁中亟待解决的痛点与难点
痛点一:根据业务规模和时间压力要求、依据可靠性、可用性以及业务连续性不同等级要求,如何加快海选、初选、终选进度?
痛点二:拟租用IDC数据中心现况不一,如何对齐横比?成本如何折算?
难点一:多租户已入驻场景下,如何检验出租方应急预案有效性?应急处置能力如何验证?
难点二:不排他性和合规承诺的执行问题。
编辑:Harris
传统上来讲,金融行业普遍以自建为主。但随着业态的变化、技术的发展以及数字化转型的加速,数据中心建设和交付时间更加迫切,部署更弹性。因此,除了自建以外租用数据中心成为了另一个可行的选择。