信息安全－金融業(yè)信息科技風(fēng)險(xiǎn)管理理念與實(shí)踐

金融業(yè)信息科技風(fēng)險(xiǎn)管理理念與實(shí)踐
講座人：梁力軍
一. 講座內(nèi)容要點(diǎn)
一是信息科技風(fēng)險(xiǎn)管理規(guī)范標(biāo)準(zhǔn)。通過(guò)信息與資料梳理、視頻素材分析，解析國(guó)際和國(guó)內(nèi)金融業(yè)在信息系統(tǒng)風(fēng)險(xiǎn)控制、技術(shù)風(fēng)險(xiǎn)評(píng)級(jí)、信息安全和網(wǎng)絡(luò)安全、系統(tǒng)安全和數(shù)據(jù)安全、信息科技項(xiàng)目管理、信息資產(chǎn)與基礎(chǔ)設(shè)施、信息科技外包管理等方面的管理框架、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，分析比較國(guó)際與國(guó)內(nèi)金融業(yè)信息科技風(fēng)險(xiǎn)管理方面的特點(diǎn)、趨勢(shì)和可借鑒之處。
二是信息科技風(fēng)險(xiǎn)管控實(shí)踐。（1）從戰(zhàn)略層面、戰(zhàn)術(shù)層面和操作層面三個(gè)視角，分析國(guó)內(nèi)外金融業(yè)信息科技治理結(jié)構(gòu)的架構(gòu)、信息科技管控流程的構(gòu)建和信息科技系統(tǒng)管控的實(shí)施等；（2）從三道防線視角，即信息科技部門、信息科技風(fēng)險(xiǎn)管理部門、信息科技審計(jì)（稽核）部門，分析國(guó)內(nèi)外金融業(yè)如何進(jìn)行信息科技風(fēng)險(xiǎn)管控的有效協(xié)作、資源與信息共享、數(shù)據(jù)傳遞等；（3）從風(fēng)險(xiǎn)管理流程視角，分析國(guó)內(nèi)外金融業(yè)如何實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的感知與識(shí)別、評(píng)估與計(jì)量、應(yīng)對(duì)等。
三是信息科技風(fēng)險(xiǎn)管控工具實(shí)踐。以信息科技中信息系統(tǒng)與數(shù)據(jù)的“生命周期”為主線，從信息科技立項(xiàng)與需求分析、信息科技項(xiàng)目采購(gòu)與招投標(biāo)、信息科技項(xiàng)目開(kāi)發(fā)、信息科技項(xiàng)目時(shí)間與質(zhì)量管控、信息科技成本控制和資源管控、信息科技溝通管理、信息科技測(cè)試與運(yùn)行等不同階段講解適用的各類信息科技風(fēng)險(xiǎn)管控工具與方法；從信息科技風(fēng)險(xiǎn)存在的不同載體——系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)和人員等視角，講解防范信息系統(tǒng)單項(xiàng)風(fēng)險(xiǎn)和綜合風(fēng)險(xiǎn)的工具與方法。
四是信息科技風(fēng)險(xiǎn)監(jiān)管與審計(jì)實(shí)施。講解國(guó)外金融業(yè)監(jiān)管機(jī)構(gòu)（巴塞爾委員會(huì)、COSO）、國(guó)內(nèi)金融業(yè)監(jiān)管機(jī)構(gòu)（人民銀行、銀保監(jiān)會(huì)、證監(jiān)會(huì)）以及審計(jì)機(jī)構(gòu)（國(guó)家審計(jì)署）和工信部等機(jī)構(gòu)，實(shí)施信息科技風(fēng)險(xiǎn)監(jiān)管和審計(jì)的具體標(biāo)準(zhǔn)和規(guī)范、實(shí)施要素和要點(diǎn)等。
二. 講座主要價(jià)值點(diǎn)
一是以信息系統(tǒng)與數(shù)據(jù)“生命周期”為剖析主線，邏輯清晰。本講座內(nèi)容將針對(duì)信息科技治理、信息科技開(kāi)發(fā)、信息科技測(cè)試、信息科技運(yùn)維等不同階段和環(huán)節(jié)，系統(tǒng)性、動(dòng)態(tài)性的分析信息科技風(fēng)險(xiǎn)管理的特征與規(guī)律。
二是將信息科技風(fēng)險(xiǎn)管理的理論與實(shí)踐相結(jié)合，理實(shí)結(jié)合。本講座系統(tǒng)性的分析信息科技風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理的規(guī)范、行業(yè)標(biāo)準(zhǔn)、方法與工具、監(jiān)管與審計(jì)的國(guó)際、國(guó)內(nèi)前沿發(fā)展和最佳實(shí)踐，并結(jié)合信息科技風(fēng)險(xiǎn)管理案例信息、視頻素材、數(shù)據(jù)資料進(jìn)行剖析講解。
三是提出信息科技風(fēng)險(xiǎn)管理的實(shí)施體系與建議，具指導(dǎo)性。本講座基于三道防線、生命周期，系統(tǒng)性提出金融機(jī)構(gòu)實(shí)施信息科技風(fēng)險(xiǎn)管理的實(shí)施體系與建議方案，具有可操作性、指導(dǎo)性。
三. 講座方案設(shè)計(jì)
本講座設(shè)計(jì)為兩天（12 小時(shí)）。
第一天：“規(guī)范標(biāo)準(zhǔn)篇”+“管理流程篇”
通過(guò)信息科技風(fēng)險(xiǎn)事件視頻素材與態(tài)勢(shì)分析，引出實(shí)施金融業(yè)信息科技風(fēng)險(xiǎn)管理的思考。
講解和剖析國(guó)內(nèi)外金融業(yè)信息科技風(fēng)險(xiǎn)管理的行業(yè)規(guī)范與標(biāo)準(zhǔn)，并提出適合于參訓(xùn)機(jī)構(gòu)的、具可操作性的信息科技風(fēng)險(xiǎn)管理規(guī)范與標(biāo)準(zhǔn)。
從三個(gè)層面講解國(guó)內(nèi)外金融業(yè)信息科技風(fēng)險(xiǎn)管理實(shí)施的流程，并提出適合于參訓(xùn)機(jī)構(gòu)的、具可操作性的信息管理流程。
第二天：“工具實(shí)踐篇”+“監(jiān)管審計(jì)篇”
以信息系統(tǒng)和金融數(shù)據(jù)的“生命周期”為主線，講解不同階段對(duì)應(yīng)的信息科技風(fēng)險(xiǎn)管理工具與方法，并比較不同工具與方法的優(yōu)劣。
講解國(guó)內(nèi)外金融監(jiān)管機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)監(jiān)管規(guī)范、監(jiān)管科技工具、監(jiān)管要求與要素等。
講解國(guó)內(nèi)外信息科技及風(fēng)險(xiǎn)管理的審計(jì)規(guī)范與準(zhǔn)則、審計(jì)方法與審計(jì)工具、審計(jì)要素等。
四. 具體內(nèi)容設(shè)計(jì)
(〇) 基礎(chǔ)認(rèn)知篇
1. 視頻與案例素材剖析
? 國(guó)外*IT 風(fēng)險(xiǎn)事件視頻與案例剖析
? 國(guó)內(nèi)*IT 風(fēng)險(xiǎn)事件視頻與案例剖析
2. 信息科技發(fā)展及 IT 風(fēng)險(xiǎn)
? 信息科技發(fā)展對(duì)金融業(yè)的影響
? IT 風(fēng)險(xiǎn)內(nèi)涵、種類與全域風(fēng)險(xiǎn)視圖
? IT 風(fēng)險(xiǎn)的演進(jìn)與變異
? IT 風(fēng)險(xiǎn)管控發(fā)展趨勢(shì)
(一) 規(guī)范標(biāo)準(zhǔn)篇
1. 國(guó)外 IT 風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)規(guī)范
? IT 服務(wù)管理：ISO20000 和 ITIL V3
? 信息安全管理：ISO27001
? 業(yè)務(wù)連續(xù)性管理：ISO22301
? ISACA: COBIT5
? DRI:業(yè)務(wù)連續(xù)性管理
2. 國(guó)內(nèi) IT 風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)規(guī)范
? 人民銀行
? 《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》
? 《銀行集中式數(shù)據(jù)中心規(guī)范》
? 《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》
? 《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)》
? 銀保監(jiān)會(huì)
? 《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》
? 《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》
? 《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》
? 《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》
? 《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》
? 《銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》
? 其他相關(guān)規(guī)范
? 網(wǎng)絡(luò)安全法
? 國(guó)家網(wǎng)信辦、公安部、國(guó)家保密局、國(guó)家密碼管理局
? 關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估
? 網(wǎng)絡(luò)安全等級(jí)保護(hù)
? 《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》
? GBT20988—2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》
(二) 管理流程篇
1. IT 風(fēng)險(xiǎn)管理戰(zhàn)略/戰(zhàn)術(shù)/操作
? 信息科技治理架構(gòu)的構(gòu)建與實(shí)施
? 信息科技管控流程的構(gòu)建與實(shí)施
? 信息科技管控系統(tǒng)的構(gòu)建與實(shí)施
2. IT 風(fēng)險(xiǎn)管理三道防線
? 信息科技部門職責(zé)與協(xié)作
? 信息科技風(fēng)險(xiǎn)管理部門職責(zé)與協(xié)作
? 信息科技審計(jì)部門職責(zé)與協(xié)作
3. IT 風(fēng)險(xiǎn)管理流程與系統(tǒng)構(gòu)建
? 信息科技風(fēng)險(xiǎn)感知與識(shí)別
? 信息科技風(fēng)險(xiǎn)評(píng)估
? 信息科技風(fēng)險(xiǎn)計(jì)量
? 信息科技風(fēng)險(xiǎn)監(jiān)測(cè)
? 信息科技風(fēng)險(xiǎn)應(yīng)對(duì)
? 信息科技風(fēng)險(xiǎn)管理系統(tǒng)構(gòu)建
(三) 工具實(shí)踐篇
1. 信息系統(tǒng)與金融數(shù)據(jù)生命周期
? 信息系統(tǒng)/項(xiàng)目生命周期各階段劃分
? 金融數(shù)據(jù)生命周期各階段劃分
2. 各階段 IT 風(fēng)險(xiǎn)管理工具與方法
? 信息科技需求與設(shè)計(jì)階段/案例解析
? 信息科技項(xiàng)目立項(xiàng)階段/案例解析
? 信息科技開(kāi)發(fā)與測(cè)試階段/案例解析
? 信息科技運(yùn)行與維護(hù)階段/案例解析
? 信息科技外包階段/案例解析
? 業(yè)務(wù)連續(xù)性管理/案例解析
3. 單項(xiàng)與綜合 IT 風(fēng)險(xiǎn)管理工具
? 系統(tǒng)與設(shè)備安全方面/案例解析
? 網(wǎng)絡(luò)安全方面/案例解析
? 數(shù)據(jù)安全方面/案例解析
? 人員與操作風(fēng)險(xiǎn)方面/案例解析
4. IT 風(fēng)險(xiǎn)管控方案建議
(四) 監(jiān)管審計(jì)篇
1. 國(guó)內(nèi)外 IT 監(jiān)管實(shí)施情況.
? 巴塞爾委員會(huì)、COSO 監(jiān)管情況
? 人民銀行、銀保監(jiān)會(huì)等監(jiān)管情況
2. 國(guó)內(nèi)外 IT 審計(jì)實(shí)施情況
? 國(guó)外信息科技審計(jì)實(shí)施及案例
? 國(guó)內(nèi)信息科技審計(jì)實(shí)施及案例
3. IT 監(jiān)管與 IT 審計(jì)實(shí)施借鑒
五. 講座目的
本講座通過(guò)系統(tǒng)講解金融業(yè)（包括人民銀行、銀保監(jiān)部門、商業(yè)銀行、證券業(yè)及保險(xiǎn)業(yè)等）信息科技風(fēng)險(xiǎn)管理體系與框架、信息管理科技風(fēng)險(xiǎn)特征與分布、信息科技風(fēng)險(xiǎn)的生命周期追蹤、信息科技風(fēng)險(xiǎn)管理具體技術(shù)及方法、信息科技風(fēng)險(xiǎn)治理、信息科技風(fēng)險(xiǎn)監(jiān)管等方面的最新發(fā)展和最佳實(shí)踐，提出適合于參訓(xùn)機(jī)構(gòu)實(shí)施信息科技風(fēng)險(xiǎn)管理的實(shí)施方案和體系建議，有效提升參訓(xùn)機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)管理能力。工具、營(yíng)銷策略，全面提升商業(yè)銀行零售金融的營(yíng)銷能力。
本講座內(nèi)容適合但不限于金融從業(yè)機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)、類金融機(jī)構(gòu)和互聯(lián)網(wǎng)企業(yè)等的信息科技、風(fēng)險(xiǎn)管理、內(nèi)控與審計(jì)等部門及相關(guān)職能部門的專業(yè)人員和銀行從業(yè)人員。具體可包括：
? 分管信息科技、科技風(fēng)險(xiǎn)的高級(jí)管理人員
? 信息科技部門相關(guān)負(fù)責(zé)人
? 風(fēng)險(xiǎn)管理部門相關(guān)人員
? 信息科技部門管理和業(yè)務(wù)骨干等

梁力軍老師的其它課程