目前中国金融机构尤其是银行业使用的IT系统大多出自国外厂商。

记者获悉，根据银监会和工信部下发的《银行业应用安全可控技术推进指南》（2014-2015年度），各银行已在2015年3月15日前向监管层报送了具体落实方案，3月30日则是各地银监局报送至银监会的最后期限。从4月1日开始，各IT企业可根据不同信息技术的安全可控要求，向银监会信科部递交备案和风险评估申请。换句话说，4月1日起，银行业采购新的IT系统设备，就必须按照新规来执行。

银行的IT系统是一个巨大体系，简单来看，包括硬件、软件和服务三项。

所谓“安全可控”，则是银监会等四部委去年9月发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（银监发<2014>39号）所提新要求，总体意思是，银行业金融机构不因采用任何技术、产品或服务而损失对技术风险的识别、监测和控制能力。

具体的要求有很多，讨论较多的主要是两点：一是IT企业应该将源代码在银监会信科部备案，二是在中国设立由技术研究或服务中心。

新规规定，银行等金融机构应用安全可控信息技术应以不低于15%的比例逐年增加，直至2019年达到不低于75%的总体占比。在比例考核中，对硬件的考核以设备数量为计，软件以软件许可（或装机）为计，服务则以合同金额来算。 该文一发布，即引发国外IT 企业的激烈反弹：它们一方面不愿提交源代码、不愿共享技术，并称中国是在变相推进IT系统国产化，另一方面则不愿意放弃中国市场，目前中国金融机构尤其是银行业使用的IT系统大多出自国外厂商，代表即是IOE——IBM（服务器、小型机）、甲骨文Oracle（数据库软件）和易安信EMC（高端存储），这三家企业基本满足了金融机构IT系统的基本架构。

不过，从上述年度指引来看，国外厂商，乃至美国商会、欧盟商会的反对，并未能软化中国推行安全可控的决心。银监会2月12日在官网声明称：一、源代码备案具体工作还在研究中，备案方式和流程将在充分听取各方意见后实施（请注意，仅是备案方式和流程在研究，备案估计已是铁板钉钉）；二、在银行业范畴以内，关于随机软件拥有自主知识产权，现阶段只要求供应商提供软件的知识产权证明或合法来源证明；三、相关要求不存在国别差别。

“就我所知，外资还蛮积极的，他们也不想丢了中国这块大蛋糕。”对此，一银行科技管理部门负责人告诉澎湃新闻（www.thepaper.cn）。而另一国内知名厂商人士也透露，出于市场份额的角度，适当开源也是支持的。更重要的是，不少IT设备还有四年的缓冲期。

或也正因此，英国金融时报16日的报道提及，国外厂商仍冀望中国暂缓实施“源代码备案”等举措。该报道援引一位律师的话称，“历史上看，中国政府如果认识到未曾对某一举措作周全考虑，他们往往会打退堂鼓。”

也有业内律师向澎湃新闻（www.thepaper.cn）表示，相关规定并没有做国内外厂商的区别对待，而且只要保证上交的源代码不用做商业用途，做好保密工作，并不涉及侵权违法。“其实更多是一个行政行为，如果真要推进，更多还是要相互沟通”。

值得一提的是，上述年度指引还列明了达到安全可控的具体指标。比如，2014-2015年度，包括防火墙、杀毒软件、加密设备在内的安全设备要求新增设备100%符合安全可控要求；PC服务器、台式计算机、笔记本、POS机、自主服务终端、自主发卡机、VTM虚拟柜员等多项内容也要求100%达到安全可控。与之相对，网络设备、存储设备、基础设施的新增安全可控比例要求相对低一些，要求达到50%-90%不等；虚拟化软件、操作系统等通用软件的要求则更低，要求新增比例在10%-40%。