信息科技風險管理

課程背景：

信息系統風險管理是商業銀行全面風險管理的重要內容，信息系統風險事關銀行的生存。銀監會《商業銀行信息科技風險管理指引》（銀監發【2009】19號）、《商業銀行數據中心監管指引》（銀監辦發﹝2010﹞114號）等文件對銀行信息系統風險管理提出非常嚴格的監管要求。銀行必須按照監管要求，結合信息安全的嚴峻形勢，深入加強信息科技的風險管理。

風險管理部門是信息科技風險管理三道防線（科技部門、風險管理部門、審計部門）中的第二道防線，履行對信息科技風險的識別、監測、控制、評價等重要職責。風險管理部門在信息科技管理中應怎樣履職，既是該工作的重點，也是難點。不少專職或兼職的信息科技風險管理人員并非計算機專業畢業，急需了解和掌握與銀行緊密相關的信息科技基礎知識，更需要掌握信息科技風險管理能力。

課程收益：

《信息科技風險管理》課程主要內容包含信息資產的識別及風險管理，科技信息治理和戰略，信息系統開發測試，信息系統運維，信息系統安全控制，信息科技外包，信息系統風險評價。課程針對不同行社信息科技現狀，有針對性地提出信息科技風險控制措施。本課程的特色是是站在風險管理部門的角度，培訓如何開展對信息科技的管控，如何確保信息科技與業務戰略的一致性，如何有效履行對信息科技工作的監督，怎樣實施信息科技工作內部控制，怎樣評價信息科技風險。

課程對象和授課方式：

風險管理分管領導，風險管理部門負責人和員工，科技風險管理人員。信息科技審計人員也可以參加。

面授。

課程大綱：

一、信息系統和信息資產

1. 信息系統來源

2. 信息系統應用情況表

3. 你需要了解的信息系統的哪些情況

4. 信息資產的分類

5. 信息資產可用性、機密性、完整性及風險管理，案例分享。

6. 最重要的信息資產人員資產的管理：配備、培訓、招聘、后備人員、評估。

7. 科技文檔資產管理。

二、信息科技治理和戰略

1. 縣級行社應建立怎樣的信息科技治理組織架構

2. 科技工作各相關部門職責，有效內部控制機制的建立。

3. 三道防線的建立

4. 缺少行社科技人員的風險補償機制

5. 信息科技戰略和業務發展戰略的一致性

6. 風險管理部門應建議行社建設對經營和管理具有長遠意義的信息系統，同時要考慮信息系統建設的成本。

三、信息系統開發測試

1. 軟件開發全生命周期介紹

2. 軟件開發各階段的規范管理和風險控制：可行性分析、需求、概要設計、詳細設計、編碼、測試各階段。

3. 各階段流程規范和文檔規范。

4. 軟件開發項目管理風險控制：質量、時間、成本

5. 風險管理人員應怎樣介入系統開發過程進行風險管理

6. 開發各階段的變更流程

7. 項目管理中的溝通

8. 信息系統上線后的驗證測試

9. 信息系統上線后的評價

四、信息系統運維和安全控制

1. 信息系統運維安全監管要求

2. 生產系統和災備系統，災備中心模式。

3. 風險管理部門了解銀行同城模式災備中心和數據備份情況的方法

4. 災備中心建設要求

5. 數據中心運維基本要求

6. 運維管理制度建設要求

7. 數據中心基礎設施建設風險管理

8. 數據中心基礎設施建設要求，機房、供電、線路等建設要求。

9. 風險管理部門對基礎設施風險檢查要求

10. 數據中心運營維護管理體系建設：組織架構、服務管理、信息安全管理規范

11. 運行維護服務管理的內容及風險管理要求

12. 兩類重要資產的安全管理：重要信息系統，網絡通訊（內外網）

13. 重要信息系統故障情況，案例分享。

14. 網絡故障：網絡設備故障、網絡配置不當、線路故障、外部攻擊（含拒絕服務、病毒等）的風險防范。案例分享。

五、外包和信息資產采購

1. 外包類型

2. 外包監管規定

3. 實施信息科技外包的原則

4. 信息科技外包可能產生的風險

5. 信息科技外包風險主管部門的主要職責和具體做法

6. 外包業務的風險評估內容

7. 外包業務風險防范措施，案例分享。

8. 外包合同管理

9. 外包服務的持續監控

10. 硬件供應服務評價

11. 軟件供應服務評價

12. 線路租用服務評價

13. 軟件維保服務評價

14. 風險管理部門對外外包業務管理重點：外包資格審查、外包管理制度、外包風險評估、外包業務應急計劃和替換方案、外包業務的監督、外包服務考核評價。

六、信息系統安全檢查評估

1. 信息系統檢查評估內容、方法和依據

2. 案例分享

3. 某行的檢查評估表

4. 最重要的評估內容--生產系統：網絡安全、物理安全、門戶網站、重要參數或數據維護安全。

[本大綱版權歸老師所有，僅供合作伙伴與本機構業務合作使用，未經書面授權及同意，任何機構及個人不得向第三方透露]