信息安全－金融業(yè)信息科技風險管理理念與實踐

金融業(yè)信息科技風險管理理念與實踐
講座人：梁力軍
一. 講座內(nèi)容要點
一是信息科技風險管理規(guī)范標準。通過信息與資料梳理、視頻素材分析，解析國際和國內(nèi)金融業(yè)在信息系統(tǒng)風險控制、技術風險評級、信息安全和網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全、信息科技項目管理、信息資產(chǎn)與基礎設施、信息科技外包管理等方面的管理框架、行業(yè)標準和最佳實踐，分析比較國際與國內(nèi)金融業(yè)信息科技風險管理方面的特點、趨勢和可借鑒之處。
二是信息科技風險管控實踐。（1）從戰(zhàn)略層面、戰(zhàn)術層面和操作層面三個視角，分析國內(nèi)外金融業(yè)信息科技治理結構的架構、信息科技管控流程的構建和信息科技系統(tǒng)管控的實施等；（2）從三道防線視角，即信息科技部門、信息科技風險管理部門、信息科技審計（稽核）部門，分析國內(nèi)外金融業(yè)如何進行信息科技風險管控的有效協(xié)作、資源與信息共享、數(shù)據(jù)傳遞等；（3）從風險管理流程視角，分析國內(nèi)外金融業(yè)如何實現(xiàn)對信息科技風險的感知與識別、評估與計量、應對等。
三是信息科技風險管控工具實踐。以信息科技中信息系統(tǒng)與數(shù)據(jù)的“生命周期”為主線，從信息科技立項與需求分析、信息科技項目采購與招投標、信息科技項目開發(fā)、信息科技項目時間與質量管控、信息科技成本控制和資源管控、信息科技溝通管理、信息科技測試與運行等不同階段講解適用的各類信息科技風險管控工具與方法；從信息科技風險存在的不同載體——系統(tǒng)、設備、網(wǎng)絡、數(shù)據(jù)和人員等視角，講解防范信息系統(tǒng)單項風險和綜合風險的工具與方法。
四是信息科技風險監(jiān)管與審計實施。講解國外金融業(yè)監(jiān)管機構（巴塞爾委員會、COSO）、國內(nèi)金融業(yè)監(jiān)管機構（人民銀行、銀保監(jiān)會、證監(jiān)會）以及審計機構（國家審計署）和工信部等機構，實施信息科技風險監(jiān)管和審計的具體標準和規(guī)范、實施要素和要點等。
二. 講座主要價值點
一是以信息系統(tǒng)與數(shù)據(jù)“生命周期”為剖析主線，邏輯清晰。本講座內(nèi)容將針對信息科技治理、信息科技開發(fā)、信息科技測試、信息科技運維等不同階段和環(huán)節(jié)，系統(tǒng)性、動態(tài)性的分析信息科技風險管理的特征與規(guī)律。
二是將信息科技風險管理的理論與實踐相結合，理實結合。本講座系統(tǒng)性的分析信息科技風險及風險管理的規(guī)范、行業(yè)標準、方法與工具、監(jiān)管與審計的國際、國內(nèi)前沿發(fā)展和最佳實踐，并結合信息科技風險管理案例信息、視頻素材、數(shù)據(jù)資料進行剖析講解。
三是提出信息科技風險管理的實施體系與建議，具指導性。本講座基于三道防線、生命周期，系統(tǒng)性提出金融機構實施信息科技風險管理的實施體系與建議方案，具有可操作性、指導性。
三. 講座方案設計
本講座設計為兩天（12 小時）。
第一天：“規(guī)范標準篇”+“管理流程篇”
通過信息科技風險事件視頻素材與態(tài)勢分析，引出實施金融業(yè)信息科技風險管理的思考。
講解和剖析國內(nèi)外金融業(yè)信息科技風險管理的行業(yè)規(guī)范與標準，并提出適合于參訓機構的、具可操作性的信息科技風險管理規(guī)范與標準。
從三個層面講解國內(nèi)外金融業(yè)信息科技風險管理實施的流程，并提出適合于參訓機構的、具可操作性的信息管理流程。
第二天：“工具實踐篇”+“監(jiān)管審計篇”
以信息系統(tǒng)和金融數(shù)據(jù)的“生命周期”為主線，講解不同階段對應的信息科技風險管理工具與方法，并比較不同工具與方法的優(yōu)劣。
講解國內(nèi)外金融監(jiān)管機構的信息科技風險監(jiān)管規(guī)范、監(jiān)管科技工具、監(jiān)管要求與要素等。
講解國內(nèi)外信息科技及風險管理的審計規(guī)范與準則、審計方法與審計工具、審計要素等。
四. 具體內(nèi)容設計
(〇) 基礎認知篇
1. 視頻與案例素材剖析
? 國外*IT 風險事件視頻與案例剖析
? 國內(nèi)*IT 風險事件視頻與案例剖析
2. 信息科技發(fā)展及 IT 風險
? 信息科技發(fā)展對金融業(yè)的影響
? IT 風險內(nèi)涵、種類與全域風險視圖
? IT 風險的演進與變異
? IT 風險管控發(fā)展趨勢
(一) 規(guī)范標準篇
1. 國外 IT 風險管控標準規(guī)范
? IT 服務管理：ISO20000 和 ITIL V3
? 信息安全管理：ISO27001
? 業(yè)務連續(xù)性管理：ISO22301
? ISACA: COBIT5
? DRI:業(yè)務連續(xù)性管理
2. 國內(nèi) IT 風險管控標準規(guī)范
? 人民銀行
? 《銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》
? 《銀行集中式數(shù)據(jù)中心規(guī)范》
? 《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》
? 《金融行業(yè)信息系統(tǒng)信息安全等級保護》
? 銀保監(jiān)會
? 《商業(yè)銀行信息科技風險管理指引》
? 《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》
? 《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》
? 《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理規(guī)范（試行）》
? 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》
? 《銀行業(yè)金融機構重要信息系統(tǒng)投產(chǎn)及變更管理辦法》
? 其他相關規(guī)范
? 網(wǎng)絡安全法
? 國家網(wǎng)信辦、公安部、國家保密局、國家密碼管理局
? 關鍵基礎設施風險評估
? 網(wǎng)絡安全等級保護
? 《中華人民共和國突發(fā)事件應對法》
? GBT20988—2007《信息系統(tǒng)災難恢復規(guī)范》
(二) 管理流程篇
1. IT 風險管理戰(zhàn)略/戰(zhàn)術/操作
? 信息科技治理架構的構建與實施
? 信息科技管控流程的構建與實施
? 信息科技管控系統(tǒng)的構建與實施
2. IT 風險管理三道防線
? 信息科技部門職責與協(xié)作
? 信息科技風險管理部門職責與協(xié)作
? 信息科技審計部門職責與協(xié)作
3. IT 風險管理流程與系統(tǒng)構建
? 信息科技風險感知與識別
? 信息科技風險評估
? 信息科技風險計量
? 信息科技風險監(jiān)測
? 信息科技風險應對
? 信息科技風險管理系統(tǒng)構建
(三) 工具實踐篇
1. 信息系統(tǒng)與金融數(shù)據(jù)生命周期
? 信息系統(tǒng)/項目生命周期各階段劃分
? 金融數(shù)據(jù)生命周期各階段劃分
2. 各階段 IT 風險管理工具與方法
? 信息科技需求與設計階段/案例解析
? 信息科技項目立項階段/案例解析
? 信息科技開發(fā)與測試階段/案例解析
? 信息科技運行與維護階段/案例解析
? 信息科技外包階段/案例解析
? 業(yè)務連續(xù)性管理/案例解析
3. 單項與綜合 IT 風險管理工具
? 系統(tǒng)與設備安全方面/案例解析
? 網(wǎng)絡安全方面/案例解析
? 數(shù)據(jù)安全方面/案例解析
? 人員與操作風險方面/案例解析
4. IT 風險管控方案建議
(四) 監(jiān)管審計篇
1. 國內(nèi)外 IT 監(jiān)管實施情況.
? 巴塞爾委員會、COSO 監(jiān)管情況
? 人民銀行、銀保監(jiān)會等監(jiān)管情況
2. 國內(nèi)外 IT 審計實施情況
? 國外信息科技審計實施及案例
? 國內(nèi)信息科技審計實施及案例
3. IT 監(jiān)管與 IT 審計實施借鑒
五. 講座目的
本講座通過系統(tǒng)講解金融業(yè)（包括人民銀行、銀保監(jiān)部門、商業(yè)銀行、證券業(yè)及保險業(yè)等）信息科技風險管理體系與框架、信息管理科技風險特征與分布、信息科技風險的生命周期追蹤、信息科技風險管理具體技術及方法、信息科技風險治理、信息科技風險監(jiān)管等方面的最新發(fā)展和最佳實踐，提出適合于參訓機構實施信息科技風險管理的實施方案和體系建議，有效提升參訓機構的信息科技風險管理能力。工具、營銷策略，全面提升商業(yè)銀行零售金融的營銷能力。
本講座內(nèi)容適合但不限于金融從業(yè)機構、監(jiān)管機構、類金融機構和互聯(lián)網(wǎng)企業(yè)等的信息科技、風險管理、內(nèi)控與審計等部門及相關職能部門的專業(yè)人員和銀行從業(yè)人員。具體可包括：
? 分管信息科技、科技風險的高級管理人員
? 信息科技部門相關負責人
? 風險管理部門相關人員
? 信息科技部門管理和業(yè)務骨干等

梁力軍老師的其它課程