信息科技风险管理

课程背景：

信息系统风险管理是商业银行全面风险管理的重要内容，信息系统风险事关银行的生存。银监会《商业银行信息科技风险管理指引》（银监发【2009】19号）、《商业银行数据中心监管指引》（银监办发﹝2010﹞114号）等文件对银行信息系统风险管理提出非常严格的监管要求。银行必须按照监管要求，结合信息安全的严峻形势，深入加强信息科技的风险管理。

风险管理部门是信息科技风险管理三道防线（科技部门、风险管理部门、审计部门）中的第二道防线，履行对信息科技风险的识别、监测、控制、评价等重要职责。风险管理部门在信息科技管理中应怎样履职，既是该工作的重点，也是难点。不少专职或兼职的信息科技风险管理人员并非计算机专业毕业，急需了解和掌握与银行紧密相关的信息科技基础知识，更需要掌握信息科技风险管理能力。

课程收益：

《信息科技风险管理》课程主要内容包含信息资产的识别及风险管理，科技信息治理和战略，信息系统开发测试，信息系统运维，信息系统安全控制，信息科技外包，信息系统风险评价。课程针对不同行社信息科技现状，有针对性地提出信息科技风险控制措施。本课程的特色是是站在风险管理部门的角度，培训如何开展对信息科技的管控，如何确保信息科技与业务战略的一致性，如何有效履行对信息科技工作的监督，怎样实施信息科技工作内部控制，怎样评价信息科技风险。

课程对象和授课方式：

风险管理分管领导，风险管理部门负责人和员工，科技风险管理人员。信息科技审计人员也可以参加。

面授。

课程大纲：

一、信息系统和信息资产

1. 信息系统来源

2. 信息系统应用情况表

3. 你需要了解的信息系统的哪些情况

4. 信息资产的分类

5. 信息资产可用性、机密性、完整性及风险管理，案例分享。

6. 最重要的信息资产人员资产的管理：配备、培训、招聘、后备人员、评估。

7. 科技文档资产管理。

二、信息科技治理和战略

1. 县级行社应建立怎样的信息科技治理组织架构

2. 科技工作各相关部门职责，有效内部控制机制的建立。

3. 三道防线的建立

4. 缺少行社科技人员的风险补偿机制

5. 信息科技战略和业务发展战略的一致性

6. 风险管理部门应建议行社建设对经营和管理具有长远意义的信息系统，同时要考虑信息系统建设的成本。

三、信息系统开发测试

1. 软件开发全生命周期介绍

2. 软件开发各阶段的规范管理和风险控制：可行性分析、需求、概要设计、详细设计、编码、测试各阶段。

3. 各阶段流程规范和文档规范。

4. 软件开发项目管理风险控制：质量、时间、成本

5. 风险管理人员应怎样介入系统开发过程进行风险管理

6. 开发各阶段的变更流程

7. 项目管理中的沟通

8. 信息系统上线后的验证测试

9. 信息系统上线后的评价

四、信息系统运维和安全控制

1. 信息系统运维安全监管要求

2. 生产系统和灾备系统，灾备中心模式。

3. 风险管理部门了解银行同城模式灾备中心和数据备份情况的方法

4. 灾备中心建设要求

5. 数据中心运维基本要求

6. 运维管理制度建设要求

7. 数据中心基础设施建设风险管理

8. 数据中心基础设施建设要求，机房、供电、线路等建设要求。

9. 风险管理部门对基础设施风险检查要求

10. 数据中心运营维护管理体系建设：组织架构、服务管理、信息安全管理规范

11. 运行维护服务管理的内容及风险管理要求

12. 两类重要资产的安全管理：重要信息系统，网络通讯（内外网）

13. 重要信息系统故障情况，案例分享。

14. 网络故障：网络设备故障、网络配置不当、线路故障、外部攻击（含拒绝服务、病毒等）的风险防范。案例分享。

五、外包和信息资产采购

1. 外包类型

2. 外包监管规定

3. 实施信息科技外包的原则

4. 信息科技外包可能产生的风险

5. 信息科技外包风险主管部门的主要职责和具体做法

6. 外包业务的风险评估内容

7. 外包业务风险防范措施，案例分享。

8. 外包合同管理

9. 外包服务的持续监控

10. 硬件供应服务评价

11. 软件供应服务评价

12. 线路租用服务评价

13. 软件维保服务评价

14. 风险管理部门对外外包业务管理重点：外包资格审查、外包管理制度、外包风险评估、外包业务应急计划和替换方案、外包业务的监督、外包服务考核评价。

六、信息系统安全检查评估

1. 信息系统检查评估内容、方法和依据

2. 案例分享

3. 某行的检查评估表

4. 最重要的评估内容--生产系统：网络安全、物理安全、门户网站、重要参数或数据维护安全。

[本大纲版权归老师所有，仅供合作伙伴与本机构业务合作使用，未经书面授权及同意，任何机构及个人不得向第三方透露]