7月25日，人民银行正式发布《金融数据中心能力建设指引》(JR/T 0265-2023）金融行业标准（以下简称“《指引》”）。

《指引》规定了金融数据中心治理、场地环境、网络通信、运行管理和风险管控的能力要求，适用于金融数据中心建设与管理。

金融数据中心能力建设的要求分为基本要求和增强要求。基本要求是在满足相关国家标准要求的前提下，根据金融行业的特性所提出的适应性要求；增强要求是为鼓励金融数据中心进一步提升安全稳定运行能力，在新技术应用、低碳环保、节能增效、业务连续性等方面提出的要求。

数据中心治理：宜将运维数据平台建设纳入运维工具建设总体规划

数据中心治理部分分为战略管控、组织建设、制度建设、流程规范管理、质量控制、技术架构管理、运维工具建设、运维知识管理、运维数据管理等方面。

《指引》显示，金融数据中心技术架构管理对象包括机房基础设施、IT基础设施建设与运维中所采用的核心技术路线及架构。

在技术架构预研与引入上，基本要求为，应根据业务需求、行业管理要求、战略规划及发展趋势，对新技术进行预研，以评估其对金融数据中心的适用性和预期收益，并制定技术架构引入策略。增强要求为，宜针对计划引入的技术架构，编写引入方案，开展技术测试或行业应用调研，根据测试结果或调研分析报告制定应用方案。

在运维工具建设—运维工具规划上，基本要求为，一是应根据技术架构和组织架构，针对性规划运维工具种类、技术路线和应用角色；二是应结合内部运维需求和行业管理要求；三是应评估运维工具可能对生产系统性能产生的影响。

增强要求则为，一是宜把握关键核心技术，优先采用当前主流且具前瞻性的建设思路和技术路线；二是宜考虑各种运维工具的适用范围，采取顶层设计，分领域、分阶段统筹短期、中期、长期的建设计划；三是宜采用一体化、平台化设计。

在运维数据管理—运维数据平台建设上，增强要求包括，一是宜采取“场景驱动、以用促建”的策略分步建设；二是宜采用分层架构设计，包括数据接入、数据存储、数据处理、数据应用等层级；三是宜将运维数据平台建设纳入运维工具建设总体规划。

场地环境：规划选址在符合GB 50174相关内容基础上还应满足3项基本要求

场地环境部分，《指引》对规划及布局、基础环境、建筑结构与装饰装修、电气、线缆部署、电磁屏蔽、空气调节、消防与安全、给水排水、智能化系统均提出了要求。

比如规划选址的基本要求在符合GB 50174中选址的相关内容基础上，还应包括：

一是金融数据中心规划时应考虑多种条件和因素，包括容量、预算、升级要求、可用性级别、效率等；应在综合考量后根据建设需求，分析自然条件、电力条件、能耗指标、网络条件等因素，确定金融数据中心建设技术路线。

二是金融数据中心选址时应进行全面的风险评估，综合考虑地理位置、自然环境、资源配套、政策配套、成本效益及人力资源等各种因素对数据中心安全运营的影响，规避选址不当风险。

三是新建的A级金融数据中心、B级金融数据中心首层建筑完成面，应高出当地洪水百年重现期水位线1.0米以上，且高出室外地坪最少0.6米。同时应整体考虑园区和建筑物的排水措施，确保各类设施能够避免潮湿、水浸、淹没等情况影响其正常运行。

规划选址的增强要求为，一是A级金融数据中心、B级金融数据中心不宜建在公共停车库的正上方；二是同城灾备中心与生产数据中心直线距离宜大于10千米。异地灾备中心与生产数据中心不在同一个江河流域、地震带、台风等自然灾害隐患区，且直线距离宜大于300千米。

风险管控：风险管理方面应每年至少开展1次风险评估

风险管控部分，分为风险管理、物理安全、支撑类系统安全、应急管理这4个方面。

其中，风险管理的基本要求包括：

一是应确定金融数据中心风险管理对象、范围、要求、方针及策略。

二是发生重大安全事件或内外部环境重大变化时，应调整风险管理策略及措施。

三是应基于风险管理要求和策略，识别金融数据中心对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等管理对象的安全需求。

四是应根据识别的安全需求制定风险管理措施并予以落实，确保风险管理的持续有效性。

五是应建立风险评估机制，全面识别金融数据中心安全风险，将风险控制在可接受的范围内。

六是应定期对相关安全事件及风险进行分析，评估现有措施有效性并及时整改问题。

七是应每年至少开展1次风险评估，当内外部环境发生重大变化时，应重新开展风险评估。

《指引》显示，金融数据中心支撑类系统包括机房动力环境监控系统、网络监控系统、安防系统等支撑金融数据中心业务的系统。

支撑类系统安全的基本要求包括，一是应对支撑类系统的监测和操作进行审计，审计记录的保存时间应满足故障诊断、事后审计的需要；二是应采用安全技术和措施对支撑类系统运维终端的漏洞和病毒进行更新和防范。

支撑类系统安全的增强要求则为，宜对支撑类系统的容量和性能需求进行前瞻性规划，通过监测、采集、分析和调优，提升业务系统运行的可靠性、稳定性和可用性。