課程背景:
信息系統(tǒng)風險管理是商業(yè)銀行全面風險管理的重要內容����,信息系統(tǒng)風險事關銀行的生存。銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》(銀監(jiān)發(fā)【2009】19號)��、《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》(銀監(jiān)辦發(fā)﹝2010﹞114號)等文件對銀行信息系統(tǒng)風險管理提出非常嚴格的監(jiān)管要求�����。銀行必須按照監(jiān)管要求��,結合信息安全的嚴峻形勢�����,深入加強信息科技的風險管理�。
風險管理部門是信息科技風險管理三道防線(科技部門、風險管理部門�、審計部門)中的第二道防線,履行對信息科技風險的識別��、監(jiān)測�、控制、評價等重要職責�����。風險管理部門在信息科技管理中應怎樣履職,既是該工作的重點�,也是難點。不少專職或兼職的信息科技風險管理人員并非計算機專業(yè)畢業(yè)�,急需了解和掌握與銀行緊密相關的信息科技基礎知識���,更需要掌握信息科技風險管理能力�。
課程收益:
《信息科技風險管理》課程主要內容包含信息資產的識別及風險管理��,科技信息治理和戰(zhàn)略���,信息系統(tǒng)開發(fā)測試�,信息系統(tǒng)運維���,信息系統(tǒng)安全控制�,信息科技外包�����,信息系統(tǒng)風險評價��。課程針對不同行社信息科技現(xiàn)狀��,有針對性地提出信息科技風險控制措施。本課程的特色是是站在風險管理部門的角度��,培訓如何開展對信息科技的管控��,如何確保信息科技與業(yè)務戰(zhàn)略的一致性����,如何有效履行對信息科技工作的監(jiān)督,怎樣實施信息科技工作內部控制���,怎樣評價信息科技風險�����。
課程對象和授課方式:
風險管理分管領導��,風險管理部門負責人和員工�����,科技風險管理人員��。信息科技審計人員也可以參加����。
面授。
課程大綱:
一����、信息系統(tǒng)和信息資產
1. 信息系統(tǒng)來源
2. 信息系統(tǒng)應用情況表
3. 你需要了解的信息系統(tǒng)的哪些情況
4. 信息資產的分類
5. 信息資產可用性、機密性�����、完整性及風險管理�����,案例分享�。
6. 最重要的信息資產人員資產的管理:配備���、培訓��、招聘��、后備人員���、評估。
7. 科技文檔資產管理����。
二�����、信息科技治理和戰(zhàn)略
1. 縣級行社應建立怎樣的信息科技治理組織架構
2. 科技工作各相關部門職責����,有效內部控制機制的建立��。
3. 三道防線的建立
4. 缺少行社科技人員的風險補償機制
5. 信息科技戰(zhàn)略和業(yè)務發(fā)展戰(zhàn)略的一致性
6. 風險管理部門應建議行社建設對經(jīng)營和管理具有長遠意義的信息系統(tǒng)�,同時要考慮信息系統(tǒng)建設的成本。
三��、信息系統(tǒng)開發(fā)測試
1. 軟件開發(fā)全生命周期介紹
2. 軟件開發(fā)各階段的規(guī)范管理和風險控制:可行性分析�、需求、概要設計���、詳細設計���、編碼、測試各階段�。
3. 各階段流程規(guī)范和文檔規(guī)范。
4. 軟件開發(fā)項目管理風險控制:質量���、時間�、成本
5. 風險管理人員應怎樣介入系統(tǒng)開發(fā)過程進行風險管理
6. 開發(fā)各階段的變更流程
7. 項目管理中的溝通
8. 信息系統(tǒng)上線后的驗證測試
9. 信息系統(tǒng)上線后的評價
四、信息系統(tǒng)運維和安全控制
1. 信息系統(tǒng)運維安全監(jiān)管要求
2. 生產系統(tǒng)和災備系統(tǒng)��,災備中心模式�。
3. 風險管理部門了解銀行同城模式災備中心和數(shù)據(jù)備份情況的方法
4. 災備中心建設要求
5. 數(shù)據(jù)中心運維基本要求
6. 運維管理制度建設要求
7. 數(shù)據(jù)中心基礎設施建設風險管理
8. 數(shù)據(jù)中心基礎設施建設要求,機房���、供電��、線路等建設要求。
9. 風險管理部門對基礎設施風險檢查要求
10. 數(shù)據(jù)中心運營維護管理體系建設:組織架構���、服務管理���、信息安全管理規(guī)范
11. 運行維護服務管理的內容及風險管理要求
12. 兩類重要資產的安全管理:重要信息系統(tǒng),網(wǎng)絡通訊(內外網(wǎng))
13. 重要信息系統(tǒng)故障情況�,案例分享。
14. 網(wǎng)絡故障:網(wǎng)絡設備故障�、網(wǎng)絡配置不當、線路故障�����、外部攻擊(含拒絕服務、病毒等)的風險防范����。案例分享。
五�、外包和信息資產采購
1. 外包類型
2. 外包監(jiān)管規(guī)定
3. 實施信息科技外包的原則
4. 信息科技外包可能產生的風險
5. 信息科技外包風險主管部門的主要職責和具體做法
6. 外包業(yè)務的風險評估內容
7. 外包業(yè)務風險防范措施,案例分享���。
8. 外包合同管理
9. 外包服務的持續(xù)監(jiān)控
10. 硬件供應服務評價
11. 軟件供應服務評價
12. 線路租用服務評價
13. 軟件維保服務評價
14. 風險管理部門對外外包業(yè)務管理重點:外包資格審查�����、外包管理制度���、外包風險評估、外包業(yè)務應急計劃和替換方案��、外包業(yè)務的監(jiān)督�、外包服務考核評價。
六��、信息系統(tǒng)安全檢查評估
1. 信息系統(tǒng)檢查評估內容���、方法和依據(jù)
2. 案例分享
3. 某行的檢查評估表
4. 最重要的評估內容--生產系統(tǒng):網(wǎng)絡安全����、物理安全、門戶網(wǎng)站��、重要參數(shù)或數(shù)據(jù)維護安全����。
[本大綱版權歸老師所有,僅供合作伙伴與本機構業(yè)務合作使用�,未經(jīng)書面授權及同意,任何機構及個人不得向第三方透露]
(微信同號)