中国人民银行、中央网信办等五部门关于规范金融业开源技术应用与发展的意见

中国人民银行办公厅 中央网络安全和信息化委员会办公室秘书局 工业和信息化部办公厅 中国银行保险监督管理委员会办公厅 中国证券监督管理委员会办公厅关于规范金融业开源技术应用与发展的意见

近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。为规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展,现提出以下意见,请结合实际贯彻执行。

一、本意见所指开源技术是金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。

二、金融机构在使用开源技术时应遵循以下原则:

(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。

(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。

(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。

(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。

三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。

四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。

五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。

六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。

七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。

八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级。

九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。

十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。

十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。

十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。

十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。

十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。

十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。

十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。

十七、人民银行、中央网信办、工业和信息化部、银保监会、证监会等部门加强统筹协调,建立跨部门协作配合、信息共享机制,定期召开跨部门协调会议,完善金融机构开源技术应用指导政策,推动金融机构合理规范使用开源技术。

十八、探索建立开源技术公共服务平台,为金融机构识别开源技术风险、动态管理开源软件、持续跟踪开源前沿技术、共享开源发展动态信息、参与开源社区运营等提供专业化、定制化服务。推动金融机构开展开源技术成熟度评估,进行开源许可安全合规审查,建立开源技术选型评估模型,提升开源技术应用质量与效率。

十九、加强开源技术及应用标准化建设,瞄准急需、重点领域加快标准制定与实施。加快推进开源技术应用和标准研究制定一体化。加强开源技术标准建设与信息化规划的衔接配套,推动金融业开源技术及应用高质量发展。

二十、鼓励金融机构加强知识产权保护研究与宣传,提升知识产权保护意识,制定软件版权、专利、商标等开源技术知识产权保护策略和制度。依法合规使用开源技术,同时保障自身在使用开源技术、参与开源生态贡献中的合法权益。

中国人民银行办公厅

中央网信办秘书局

工业和信息化部办公厅

中国银保监会办公厅

中国证监会办公厅

2021年9月28日

(0)
上一篇 2023年8月16日 下午3:25
下一篇 2023年8月16日 下午9:30

相关推荐

  • 用社区和开发者工具驱动软件供应链安全治理

    本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏,十二年的企业安全建设、安全社区白帽子、开发者,先后在百度、贝壳负责过企业安全建设 ,也在乌云负责过安全产品,业余时间活跃于安全技术社区,帮助企业、开源项目、软件公司解决过数百个严重安全问题,现在负责墨菲安全和 OSCS 社区,专注于软件供应链安全方向。 软件供应链安全的概…

    2023年8月9日
    0
  • 《信息安全技术 ICT供应链安全风险管理指南》(GB/T 36637-2018)

    《信息安全技术—ICT供应链安全风险管理指南》(GB/T 36637-2018)是2019年5月1日实施的一项中国国家标准,归口于全国信息安全标准化技术委员会。 《信息安全技术—ICT供应链安全风险管理指南》(GB/T 36637-2018)规定了ICT供应链的安全风险管理过程和控制措施,适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链…

    2023年8月22日
    0
  • 《信息安全技术 软件产品开源代码安全评价方法》征求意见稿

    全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件产品开源代码安全评价方法》现已形成标准征求意见稿。 本文件给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法,评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。 标准文本下载: https://pan.baidu.com/s/1Kw2GsrOoWDfa7r…

    2023年8月22日
    0
  • 《医疗器械网络安全注册审查指导原则(2022年修订版)》

    2022年3月7日,为进一步规范医疗器械网络安全的管理,国家药监局器审中心组织制定了《医疗器械网络安全注册审查指导原则(2022年修订版)》 附件下载链接: https://pan.baidu.com/s/1VbMjfWPnDn-4vhboNMgeWQ 提取码: b8o4

    2023年8月16日
    0
  • 如何通过漏洞可利用性交换来帮助医疗保健优先考虑网络安全风险

    作者:Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的,对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平,做出正确的诊断需要时间,可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地,直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…

    2023年8月10日
    0