2013年美国“棱镜”事件后，国家信息安全提到战略高度，作为传统IT铁三角核心腹地的金融业，去“IOE”风盛。强调银行业要围绕“自主可控”、“持续发展”、“科技创新”三大战略切实加强信息科技建设，也成为2013年银行业信息科技风险管理年会上的讨论重点。

理论上，金融机构在服务器、网络、数据库、中间件、应用层这五个层面实现由IOE迁移到国产产品是可行的。但银行体系使用IOE近30年，短时期内实现迁移既有应用风险，也有技术风险。

目前来看，服务器层去IOE最难，网络层因华为具有一定市场占有率去IOE难度最小。而在数据层和中间件层，国产产品的应用效果还未得到验证，也存在一定难度。而银行业关注实时营业，确保安全稳定能力也是去IOE的一个难点。

银行业信息科技“十二五”规划中也强调了风险管理的重要性，因银行服务电子渠道的多样性对其信息安全防护也提出更高要求，要求银行业必须全方位地在应用系统生命周期、数据生命周期、基础设施环境运维等各个环节强化信息安全管理。

从农业银行具体实践来看，全面风险管理对其信息系统建设提出五大要求。一是系统需要从业务系统中抽取风险管理各类经营结果数据，并在此基础上清洗、转换、整合、汇总和加工；二是系统不仅需要支持各类风险管理模型实现自动计量，还需支持业务人员根据业务管理要求进行模型规则的配置和变更；三是系统功能要支持对计量结果进行报告、审核、发布和归档的风险管理日常流程；四是系统需要支持多维分析和灵活查询；五是系统要根据风险决策结果，按照一定业务规则实现对生产系统的控制。

为实现这一目标，农行搭建了“统一门户、统一入口、统一框架”的风险管理板块系统框架，并配合新核心系统等生产系统改造，不断完善与生产系统的接口。

“十二五”期间，在完善信息科技风险方面，中国银行有四个着眼点。中国银行信息科技部总经理刘秋万表示：“一是健全风险管理机制，将信息科技风险纳入全行风险管理框架，初步建立IT风险量化监测指标体系；二是着力提升合规遵从能力，积极参与银监会信息科技评级工作和风险课题研究，并完成了网银国密改造工作，积极开展海外IT合规差异分析、风险评估、问题整改、监管应对及国际标准认证等工作；三是完善技术防护体系，优化网络保护机制，部署多层次网络安全防护措施，完成TSM、DSM、网络准入等数据防泄露项目全辖推广，初步建立了全生命周期应用安全防控体系；四是优化灾备演练机制，通过融合计划性和突发性两种形式，通过贴合真实场景的演练方式，验证灾难恢复预案、灾难恢复流程的有效性、异地灾备环境的可恢复性，从而提升灾备人员的应急处置能力。”

对兴业银行而言，强调自主可控和国产化也是一个持续长期的过程。“从这个角度来说，我们是股份制银行中少数一两家自己研发核心系统，并具备相应支撑能力的银行。”黄晟表示，“从1996年，我们就开始核心系统的自主研发，一直坚持到现在。”