信息科技風險管理

課程背景：

信息系統(tǒng)風險管理是商業(yè)銀行全面風險管理的重要內(nèi)容，信息系統(tǒng)風險事關(guān)銀行的生存。銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》（銀監(jiān)發(fā)【2009】19號）、《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》（銀監(jiān)辦發(fā)﹝2010﹞114號）等文件對銀行信息系統(tǒng)風險管理提出非常嚴格的監(jiān)管要求。銀行必須按照監(jiān)管要求，結(jié)合信息安全的嚴峻形勢，深入加強信息科技的風險管理。

風險管理部門是信息科技風險管理三道防線（科技部門、風險管理部門、審計部門）中的第二道防線，履行對信息科技風險的識別、監(jiān)測、控制、評價等重要職責。風險管理部門在信息科技管理中應怎樣履職，既是該工作的重點，也是難點。不少專職或兼職的信息科技風險管理人員并非計算機專業(yè)畢業(yè)，急需了解和掌握與銀行緊密相關(guān)的信息科技基礎知識，更需要掌握信息科技風險管理能力。

課程收益：

《信息科技風險管理》課程主要內(nèi)容包含信息資產(chǎn)的識別及風險管理，科技信息治理和戰(zhàn)略，信息系統(tǒng)開發(fā)測試，信息系統(tǒng)運維，信息系統(tǒng)安全控制，信息科技外包，信息系統(tǒng)風險評價。課程針對不同行社信息科技現(xiàn)狀，有針對性地提出信息科技風險控制措施。本課程的特色是是站在風險管理部門的角度，培訓如何開展對信息科技的管控，如何確保信息科技與業(yè)務戰(zhàn)略的一致性，如何有效履行對信息科技工作的監(jiān)督，怎樣實施信息科技工作內(nèi)部控制，怎樣評價信息科技風險。

課程對象和授課方式：

風險管理分管領(lǐng)導，風險管理部門負責人和員工，科技風險管理人員。信息科技審計人員也可以參加。

面授。

課程大綱：

一、信息系統(tǒng)和信息資產(chǎn)

1. 信息系統(tǒng)來源

2. 信息系統(tǒng)應用情況表

3. 你需要了解的信息系統(tǒng)的哪些情況

4. 信息資產(chǎn)的分類

5. 信息資產(chǎn)可用性、機密性、完整性及風險管理，案例分享。

6. 最重要的信息資產(chǎn)人員資產(chǎn)的管理：配備、培訓、招聘、后備人員、評估。

7. 科技文檔資產(chǎn)管理。

二、信息科技治理和戰(zhàn)略

1. 縣級行社應建立怎樣的信息科技治理組織架構(gòu)

2. 科技工作各相關(guān)部門職責，有效內(nèi)部控制機制的建立。

3. 三道防線的建立

4. 缺少行社科技人員的風險補償機制

5. 信息科技戰(zhàn)略和業(yè)務發(fā)展戰(zhàn)略的一致性

6. 風險管理部門應建議行社建設對經(jīng)營和管理具有長遠意義的信息系統(tǒng)，同時要考慮信息系統(tǒng)建設的成本。

三、信息系統(tǒng)開發(fā)測試

1. 軟件開發(fā)全生命周期介紹

2. 軟件開發(fā)各階段的規(guī)范管理和風險控制：可行性分析、需求、概要設計、詳細設計、編碼、測試各階段。

3. 各階段流程規(guī)范和文檔規(guī)范。

4. 軟件開發(fā)項目管理風險控制：質(zhì)量、時間、成本

5. 風險管理人員應怎樣介入系統(tǒng)開發(fā)過程進行風險管理

6. 開發(fā)各階段的變更流程

7. 項目管理中的溝通

8. 信息系統(tǒng)上線后的驗證測試

9. 信息系統(tǒng)上線后的評價

四、信息系統(tǒng)運維和安全控制

1. 信息系統(tǒng)運維安全監(jiān)管要求

2. 生產(chǎn)系統(tǒng)和災備系統(tǒng)，災備中心模式。

3. 風險管理部門了解銀行同城模式災備中心和數(shù)據(jù)備份情況的方法

4. 災備中心建設要求

5. 數(shù)據(jù)中心運維基本要求

6. 運維管理制度建設要求

7. 數(shù)據(jù)中心基礎設施建設風險管理

8. 數(shù)據(jù)中心基礎設施建設要求，機房、供電、線路等建設要求。

9. 風險管理部門對基礎設施風險檢查要求

10. 數(shù)據(jù)中心運營維護管理體系建設：組織架構(gòu)、服務管理、信息安全管理規(guī)范

11. 運行維護服務管理的內(nèi)容及風險管理要求

12. 兩類重要資產(chǎn)的安全管理：重要信息系統(tǒng)，網(wǎng)絡通訊（內(nèi)外網(wǎng)）

13. 重要信息系統(tǒng)故障情況，案例分享。

14. 網(wǎng)絡故障：網(wǎng)絡設備故障、網(wǎng)絡配置不當、線路故障、外部攻擊（含拒絕服務、病毒等）的風險防范。案例分享。

五、外包和信息資產(chǎn)采購

1. 外包類型

2. 外包監(jiān)管規(guī)定

3. 實施信息科技外包的原則

4. 信息科技外包可能產(chǎn)生的風險

5. 信息科技外包風險主管部門的主要職責和具體做法

6. 外包業(yè)務的風險評估內(nèi)容

7. 外包業(yè)務風險防范措施，案例分享。

8. 外包合同管理

9. 外包服務的持續(xù)監(jiān)控

10. 硬件供應服務評價

11. 軟件供應服務評價

12. 線路租用服務評價

13. 軟件維保服務評價

14. 風險管理部門對外外包業(yè)務管理重點：外包資格審查、外包管理制度、外包風險評估、外包業(yè)務應急計劃和替換方案、外包業(yè)務的監(jiān)督、外包服務考核評價。

六、信息系統(tǒng)安全檢查評估

1. 信息系統(tǒng)檢查評估內(nèi)容、方法和依據(jù)

2. 案例分享

3. 某行的檢查評估表

4. 最重要的評估內(nèi)容--生產(chǎn)系統(tǒng)：網(wǎng)絡安全、物理安全、門戶網(wǎng)站、重要參數(shù)或數(shù)據(jù)維護安全。

[本大綱版權(quán)歸老師所有，僅供合作伙伴與本機構(gòu)業(yè)務合作使用，未經(jīng)書面授權(quán)及同意，任何機構(gòu)及個人不得向第三方透露]