一. 講座內(nèi)容要點(diǎn)
一是信息科技風(fēng)險(xiǎn)管理規(guī)范標(biāo)準(zhǔn)���。通過信息與資料梳理�����、視頻素材分析����,解析國際和國內(nèi)金融業(yè)在信息系統(tǒng)風(fēng)險(xiǎn)控制、技術(shù)風(fēng)險(xiǎn)評級���、信息安全和網(wǎng)絡(luò)安全��、系統(tǒng)安全和數(shù)據(jù)安全���、信息科技項(xiàng)目管理、信息資產(chǎn)與基礎(chǔ)設(shè)施��、信息科技外包管理等方面的管理框架���、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐�����,分析比較國際與國內(nèi)金融業(yè)信息科技風(fēng)險(xiǎn)管理方面的特點(diǎn)����、趨勢和可借鑒之處�。
二是信息科技風(fēng)險(xiǎn)管控實(shí)踐。(1)從戰(zhàn)略層面���、戰(zhàn)術(shù)層面和操作層面三個(gè)視角,分析國內(nèi)外金融業(yè)信息科技治理結(jié)構(gòu)的架構(gòu)、信息科技管控流程的構(gòu)建和信息科技系統(tǒng)管控的實(shí)施等����;(2)從三道防線視角,即信息科技部門�、信息科技風(fēng)險(xiǎn)管理部門、信息科技審計(jì)(稽核)部門����,分析國內(nèi)外金融業(yè)如何進(jìn)行信息科技風(fēng)險(xiǎn)管控的有效協(xié)作、資源與信息共享���、數(shù)據(jù)傳遞等�����;(3)從風(fēng)險(xiǎn)管理流程視角�,分析國內(nèi)外金融業(yè)如何實(shí)現(xiàn)對信息科技風(fēng)險(xiǎn)的感知與識別��、評估與計(jì)量���、應(yīng)對等���。
三是信息科技風(fēng)險(xiǎn)管控工具實(shí)踐。以信息科技中信息系統(tǒng)與數(shù)據(jù)的“生命周期”為主線,從信息科技立項(xiàng)與需求分析�、信息科技項(xiàng)目采購與招投標(biāo)、信息科技項(xiàng)目開發(fā)���、信息科技項(xiàng)目時(shí)間與質(zhì)量管控��、信息科技成本控制和資源管控�����、信息科技溝通管理��、信息科技測試與運(yùn)行等不同階段講解適用的各類信息科技風(fēng)險(xiǎn)管控工具與方法����;從信息科技風(fēng)險(xiǎn)存在的不同載體——系統(tǒng)��、設(shè)備����、網(wǎng)絡(luò)、數(shù)據(jù)和人員等視角����,講解防范信息系統(tǒng)單項(xiàng)風(fēng)險(xiǎn)和綜合風(fēng)險(xiǎn)的工具與方法�。
四是信息科技風(fēng)險(xiǎn)監(jiān)管與審計(jì)實(shí)施�。講解國外金融業(yè)監(jiān)管機(jī)構(gòu)(巴塞爾委員會���、COSO)�、國內(nèi)金融業(yè)監(jiān)管機(jī)構(gòu)(人民銀行�、銀保監(jiān)會、證監(jiān)會)以及審計(jì)機(jī)構(gòu)(國家審計(jì)署)和工信部等機(jī)構(gòu)���,實(shí)施信息科技風(fēng)險(xiǎn)監(jiān)管和審計(jì)的具體標(biāo)準(zhǔn)和規(guī)范�、實(shí)施要素和要點(diǎn)等�����。
二. 講座主要價(jià)值點(diǎn)
一是以信息系統(tǒng)與數(shù)據(jù)“生命周期”為剖析主線�,邏輯清晰。本講座內(nèi)容將針對信息科技治理��、信息科技開發(fā)�����、信息科技測試�、信息科技運(yùn)維等不同階段和環(huán)節(jié)�,系統(tǒng)性�、動態(tài)性的分析信息科技風(fēng)險(xiǎn)管理的特征與規(guī)律。
二是將信息科技風(fēng)險(xiǎn)管理的理論與實(shí)踐相結(jié)合�,理實(shí)結(jié)合。本講座系統(tǒng)性的分析信息科技風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理的規(guī)范�����、行業(yè)標(biāo)準(zhǔn)���、方法與工具���、監(jiān)管與審計(jì)的國際、國內(nèi)前沿發(fā)展和最佳實(shí)踐��,并結(jié)合信息科技風(fēng)險(xiǎn)管理案例信息�����、視頻素材�����、數(shù)據(jù)資料進(jìn)行剖析講解���。
三是提出信息科技風(fēng)險(xiǎn)管理的實(shí)施體系與建議�����,具指導(dǎo)性��。本講座基于三道防線��、生命周期���,系統(tǒng)性提出金融機(jī)構(gòu)實(shí)施信息科技風(fēng)險(xiǎn)管理的實(shí)施體系與建議方案,具有可操作性�����、指導(dǎo)性��。
三. 講座方案設(shè)計(jì)
本講座設(shè)計(jì)為兩天(12 小時(shí))�。
第一天:“規(guī)范標(biāo)準(zhǔn)篇”+“管理流程篇”
通過信息科技風(fēng)險(xiǎn)事件視頻素材與態(tài)勢分析,引出實(shí)施金融業(yè)信息科技風(fēng)險(xiǎn)管理的思考����。
講解和剖析國內(nèi)外金融業(yè)信息科技風(fēng)險(xiǎn)管理的行業(yè)規(guī)范與標(biāo)準(zhǔn),并提出適合于參訓(xùn)機(jī)構(gòu)的���、具可操作性的信息科技風(fēng)險(xiǎn)管理規(guī)范與標(biāo)準(zhǔn)��。
從三個(gè)層面講解國內(nèi)外金融業(yè)信息科技風(fēng)險(xiǎn)管理實(shí)施的流程�,并提出適合于參訓(xùn)機(jī)構(gòu)的、具可操作性的信息管理流程��。
第二天:“工具實(shí)踐篇”+“監(jiān)管審計(jì)篇”
以信息系統(tǒng)和金融數(shù)據(jù)的“生命周期”為主線����,講解不同階段對應(yīng)的信息科技風(fēng)險(xiǎn)管理工具與方法,并比較不同工具與方法的優(yōu)劣��。
講解國內(nèi)外金融監(jiān)管機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)監(jiān)管規(guī)范��、監(jiān)管科技工具�����、監(jiān)管要求與要素等�����。
講解國內(nèi)外信息科技及風(fēng)險(xiǎn)管理的審計(jì)規(guī)范與準(zhǔn)則�����、審計(jì)方法與審計(jì)工具、審計(jì)要素等�。
四. 具體內(nèi)容設(shè)計(jì)
(〇) 基礎(chǔ)認(rèn)知篇
1. 視頻與案例素材剖析
n 國外*IT 風(fēng)險(xiǎn)事件視頻與案例剖析
n 國內(nèi)*IT 風(fēng)險(xiǎn)事件視頻與案例剖析
2. 信息科技發(fā)展及 IT 風(fēng)險(xiǎn)
n 信息科技發(fā)展對金融業(yè)的影響
n IT 風(fēng)險(xiǎn)內(nèi)涵、種類與全域風(fēng)險(xiǎn)視圖
n IT 風(fēng)險(xiǎn)的演進(jìn)與變異
n IT 風(fēng)險(xiǎn)管控發(fā)展趨勢
(一) 規(guī)范標(biāo)準(zhǔn)篇
1. 國外 IT 風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)規(guī)范
n IT 服務(wù)管理:ISO20000 和 ITIL V3
n 信息安全管理:ISO27001
n 業(yè)務(wù)連續(xù)性管理:ISO22301
n ISACA: COBIT5
n DRI:業(yè)務(wù)連續(xù)性管理
2. 國內(nèi) IT 風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)規(guī)范
n 人民銀行
ü 《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》
ü 《銀行集中式數(shù)據(jù)中心規(guī)范》
ü 《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》
ü 《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)》
n 銀保監(jiān)會
ü 《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》
ü 《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》
ü 《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》
ü 《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范(試行)》
ü 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》
ü 《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》
n 其他相關(guān)規(guī)范
ü 網(wǎng)絡(luò)安全法
ü 國家網(wǎng)信辦����、公安部、國家保密局��、國家密碼管理局
ü 關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評估
ü 網(wǎng)絡(luò)安全等級保護(hù)
ü 《中華人民共和國突發(fā)事件應(yīng)對法》
ü GBT20988—2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》
(二) 管理流程篇
1. IT 風(fēng)險(xiǎn)管理戰(zhàn)略/戰(zhàn)術(shù)/操作
n 信息科技治理架構(gòu)的構(gòu)建與實(shí)施
n 信息科技管控流程的構(gòu)建與實(shí)施
n 信息科技管控系統(tǒng)的構(gòu)建與實(shí)施
2. IT 風(fēng)險(xiǎn)管理三道防線
n 信息科技部門職責(zé)與協(xié)作
n 信息科技風(fēng)險(xiǎn)管理部門職責(zé)與協(xié)作
n 信息科技審計(jì)部門職責(zé)與協(xié)作
3. IT 風(fēng)險(xiǎn)管理流程與系統(tǒng)構(gòu)建
n 信息科技風(fēng)險(xiǎn)感知與識別
n 信息科技風(fēng)險(xiǎn)評估
n 信息科技風(fēng)險(xiǎn)計(jì)量
n 信息科技風(fēng)險(xiǎn)監(jiān)測
n 信息科技風(fēng)險(xiǎn)應(yīng)對
n 信息科技風(fēng)險(xiǎn)管理系統(tǒng)構(gòu)建
(三) 工具實(shí)踐篇
1. 信息系統(tǒng)與金融數(shù)據(jù)生命周期
n 信息系統(tǒng)/項(xiàng)目生命周期各階段劃分
n 金融數(shù)據(jù)生命周期各階段劃分
2. 各階段 IT 風(fēng)險(xiǎn)管理工具與方法
n 信息科技需求與設(shè)計(jì)階段/案例解析
n 信息科技項(xiàng)目立項(xiàng)階段/案例解析
n 信息科技開發(fā)與測試階段/案例解析
n 信息科技運(yùn)行與維護(hù)階段/案例解析
n 信息科技外包階段/案例解析
n 業(yè)務(wù)連續(xù)性管理/案例解析
3. 單項(xiàng)與綜合 IT 風(fēng)險(xiǎn)管理工具
n 系統(tǒng)與設(shè)備安全方面/案例解析
n 網(wǎng)絡(luò)安全方面/案例解析
n 數(shù)據(jù)安全方面/案例解析
n 人員與操作風(fēng)險(xiǎn)方面/案例解析
4. IT 風(fēng)險(xiǎn)管控方案建議
(四) 監(jiān)管審計(jì)篇
1. 國內(nèi)外 IT 監(jiān)管實(shí)施情況.
n 巴塞爾委員會�、COSO 監(jiān)管情況
n 人民銀行�、銀保監(jiān)會等監(jiān)管情況
2. 國內(nèi)外 IT 審計(jì)實(shí)施情況
n 國外信息科技審計(jì)實(shí)施及案例
n 國內(nèi)信息科技審計(jì)實(shí)施及案例
3. IT 監(jiān)管與 IT 審計(jì)實(shí)施借鑒
五. 講座目的
本講座通過系統(tǒng)講解金融業(yè)(包括人民銀行、銀保監(jiān)部門�����、商業(yè)銀行����、證券業(yè)及保險(xiǎn)業(yè)等)信息科技風(fēng)險(xiǎn)管理體系與框架、信息管理科技風(fēng)險(xiǎn)特征與分布���、信息科技風(fēng)險(xiǎn)的生命周期追蹤���、信息科技風(fēng)險(xiǎn)管理具體技術(shù)及方法��、信息科技風(fēng)險(xiǎn)治理�、信息科技風(fēng)險(xiǎn)監(jiān)管等方面的最新發(fā)展和最佳實(shí)踐���,提出適合于參訓(xùn)機(jī)構(gòu)實(shí)施信息科技風(fēng)險(xiǎn)管理的實(shí)施方案和體系建議�,有效提升參訓(xùn)機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理能力���。工具��、營銷策略����,全面提升商業(yè)銀行零售金融的營銷能力���。
本講座內(nèi)容適合但不限于金融從業(yè)機(jī)構(gòu)�����、監(jiān)管機(jī)構(gòu)�����、類金融機(jī)構(gòu)和互聯(lián)網(wǎng)企業(yè)等的信息科技��、風(fēng)險(xiǎn)管理�����、內(nèi)控與審計(jì)等部門及相關(guān)職能部門的專業(yè)人員和銀行從業(yè)人員��。具體可包括:
n 分管信息科技��、科技風(fēng)險(xiǎn)的高級管理人員
n 信息科技部門相關(guān)負(fù)責(zé)人
n 風(fēng)險(xiǎn)管理部門相關(guān)人員
n 信息科技部門管理和業(yè)務(wù)骨干等
(微信同號)