本書從合規管理和技術防控2個維度分析和講解信息科技風險管理的監管規則、合規要求、技術方案和實施方法等。
(1)行業標準著作:內容系統全面,理論實踐兼顧,既有監管要求深度剖析,又有實踐經驗系統總結,平安、招商、廣發、九江等銀行專家和高管力薦。
(2)作者背景資深:5位作者均在銀行業有近20年的工作經驗,都來自管理崗和核心技術崗,匯聚了作者們在大型商業銀行、股份制銀行、城商行的寶貴經驗。
(3)理論實踐兼顧:從合規管理和技術防控2個維度,全面講解信息科技風險管理8個領域的方法論和實施方案,指導金融機構從容駕馭科技風險,讓合規創造價值。
【為什么要寫這本書】
本書作者均奮戰在金融科技前沿領域多年,在致力于利用信息科技賦能金融機構業務發展的道路上貢獻著自己的力量。我們決定將各自積累的信息科技風險管理方面的經驗整理出來,編撰成書,在對經驗進行總結并加以分析的同時,探索更多合理、高效的信息科技風險管理最佳實踐。
信息科技對金融業務發展所起的作用是舉足輕重的。近年來,金融機構在戰略規劃中相繼引入科技引領的概念。作為金融機構信息科技從業人員,我們篤信信息科技是一個非常有用的工具,一個兼具產品思維和管理思維、擁有高質增效能力的工具。這個工具如果在金融機構的業務發展中被很好地利用,可以幫助業務部門在開拓市場的過程中乘風破浪、激流勇進,創造豐碩成果;如果用不好信息科技這個工具,則可能引發信息科技風險,不僅損害金融機構業務的發展,還可能破壞金融業的安全和國家金融體系的穩定,信息科技風險甚至成為唯一可能使銀行業務在瞬間全部癱瘓的重要風險。那么如何在充分利用好信息科技賦能金融機構業務發展的同時,做好金融機構信息科技風險管理,是本書將重點探討的
內容。
金融機構風險管理的關鍵在于得到金融機構上上下下、里里外外相關人員的重視,在金融機構信息科技的各個領域做好全面的風險管控,避免百密一疏。
寫作本書的目的,并非要大家談虎色變,懼怕信息科技風險而因噎廢食,而是讓讀者在充分認識和理解信息科技風險管理的基礎上,更好地利用信息科技的手段促進本機構的業務發展。風險管理做得足夠好,往往能夠創造更多、更好的機會。希望本書能夠幫助廣大讀者在日后的工作中更好地管理信息科技風險,在本職工作中努力創新,利用信息科技工具推動本機構業務的發展,創造更輝煌的未來。
【讀者對象】
金融機構高層管理人員。
金融機構首席信息官。
金融機構業務部門、信息科技部門工作人員。
金融機構的IT服務商等。
【本書特色】
相較于其他關于信息科技風險的圖書,本書的主要特點如下。
本書對金融機構信息科技風險管理進行了較全面的論述。對于金融機構信息科技風險管理的八大領域,本書均有細致而完整的梳理和分析,并提出了獨到的見解。
本書注重理論與實踐相結合,內容分為合規管理和技術防控兩部分。第一部分針對信息科技風險管理的監管要求加以分析和說明,并總結出行之有效的方法論。第二部分本著技防勝于人防的觀點,結合業界在各個領域的最新發展動態,提出了信息科技風險管理的信息化、自動化和智能化實施方案,概括了各場景下信息科技風險管理的最佳實踐。
本書緊扣熱點,針對金融科技技術應用蓬勃發展以及近年來提出的信息技術自主可控等話題進行了探討,并根據作者的從業經歷,給出了一系列可快速落地的方案。
【如何閱讀本書】
本書分為兩部分。
第一部分為合規管理(第1~9章),主要分析了新時代金融機構信息科技風險的態勢,并逐一闡述金融機構信息科技風險管理八大領域。
第二部分為技術防控(第10~21章),從技術防控角度闡述了各個細分領域風險管理信息化、自動化和智能化的最佳實踐,并對金融機構信息科技風險管理的未來進行了展望。
李燕
現任某銀行科技部總經理室成員,具有18年商業銀行總行科技工作經驗,在金融科技管理、系統開發、測試、科技風險和信息安全等方面均有豐富經驗。2019年與人合著《企業安全建設指南:金融行業安全架構與技術實踐》,2021年作為領導小組成員和主要執筆人編著《智慧監管探索與實踐》,在 《中國金融電腦》 《中國信息安全》《金融科技時代》等雜志發表多篇論文。
林衛華
某銀行信息科技部副總,具有22年商業銀行總行信息科技從業經驗。曾擔任某大型商業銀行軟件開發中心應用支持部總經理和海外支持部總經理職務,多次主要參與和主持銀行信息系統大型項目和工程的研發與實施工作,包括會計科目體系改革、銀行核心系統的更替升級、兩地三中心工程的實施等。在金融信息系統的架構設計、開發、運維以及業務連續性建設方面均有豐富的經驗和獨到的見解。
楊春明
項目管理師、經濟師。具有18年商業銀行總行信息科技工作經驗,主持過全國性股份制銀行的應用系統建設工作,具有大型復雜項目的管理能力和專業技術能力。曾參與中小銀行從籌備到快速發展的信息科技歷程,對銀行業務有廣泛的了解。在銀行金融產品開發測試、風險管理及運營維護方面有深入的實踐和理解。
秦志華
某商業銀行總行信息科技部運維團隊負責人,具有20年運維工作經歷,主持過商業銀行總行數據中心機房、網絡、系統等方面的籌建與運維管理工作,具用豐富的數據中心基礎設施建設與運維管理經驗,在兩地三中心建設與業務連續性管理方面有深入實踐與理解。
賴勝樞
先后在500強外企中國研發中心、商業銀行總行信息技術部門工作,在軟件開發、運維支持、質量管理方面具有深入的理解,特別是在網絡安全領域深耕多年,對網絡安全相關架構、規劃、流程以及技術體系有獨到的見解和豐富的實踐經驗。
第一部分 合規管理
第1章 新時代金融機構信息科技
風險概述2
1.1 新時代金融機構信息科技風險態勢2
1.1.1 金融機構信息科技風險的概念3
1.1.2 金融機構信息科技風險監管
發展歷程4
1.1.3 國際金融機構信息科技風險
管理現狀與趨勢6
1.1.4 國內金融機構信息科技風險
管理現狀與特點8
1.2 金融機構信息科技風險管理整體
架構9
1.2.1 八大領域的監管合規9
1.2.2 監管合規的技術輔助13
1.3 本章小結15
第2章 信息科技治理16
2.1 董事會履職16
2.1.1 董事會的職責16
2.1.2 董事會信息科技管理相關
職責18
2.2 高管層履職19
2.2.1 監管對高級管理層的要求19
2.2.2 高級管理層的職責20
2.2.3 信息科技管理委員會和首席
信息官21
2.3 組織架構設計21
2.3.1 信息科技風險防范的三道防線
機制21
2.3.2 三道防線協同機制22
2.3.3 其他業務部門23
2.4 信息科技戰略規劃23
2.4.1 信息科技規劃方案的制定24
2.4.2 信息科技規劃的實施方案26
2.4.3 信息科技架構的開發與管理27
2.4.4 信息科技架構的具體設計30
2.5 科技預算控制32
2.5.1 科技預算的組成及編制方法32
2.5.2 預算執行及效益分析評價34
2.5.3 科技預算閉環管理機制36
2.6 本章小結37
第3章 信息科技風險管理38
3.1 風險管理體系38
3.1.1 工作職責38
3.1.2 組織架構和匯報路線39
3.1.3 科技風險與全面風險的關系39
3.2 工作機制39
3.2.1 風險管理策略和制度40
3.2.2 風險評估領域和方法論41
3.2.3 常見風險評估項目42
3.2.4 風險監測44
3.2.5 突擊檢查46
3.2.6 日常突發事件管理46
3.2.7 非現場監管報表報送48
3.2.8 整改追蹤和效果回顧48
3.3 本章小結49
第4章 信息科技審計管理50
4.1 審計管理體系50
4.1.1 工作職責50
4.1.2 組織架構和匯報路線51
4.2 工作機制51
4.2.1 審計制度51
4.2.2 內外審計領域和方法論51
4.2.3 常見的審計方法和審計項目52
4.2.4 整改追蹤和效果回顧54
4.3 本章小結54
第5章 信息安全管理55
5.1 信息安全管理體系55
5.1.1 組織架構55
5.1.2 制度體系57
5.1.3 ISO27001信息安全管理體系59
5.2 信息安全事件管理61
5.2.1 信息安全事件分類61
5.2.2 信息安全事件管理組織架構62
5.2.3 信息安全事件識別62
5.2.4 信息安全事件報告63
5.2.5 信息安全事件處置63
5.2.6 信息安全事件復盤63
5.3 信息安全意識管理64
5.3.1 信息安全意識培訓體系設計64
5.3.2 信息安全意識培訓實施64
5.4 本章小結66
第6章 開發與測試風險管理67
6.1 開發風險管理體系67
6.1.1 開發風險管理體系框架67
6.1.2 組織架構69
6.2 項目周期中的開發風險管理70
6.2.1 啟動階段風險管理71
6.2.2 需求分析階段風險管理72
6.2.3 系統設計階段風險管理73
6.2.4 編程階段風險管理73
6.2.5 測試階段風險管理74
6.2.6 投產階段風險管理74
6.3 開發質量保障74
6.3.1 軟件能力成熟度集成模型75
6.3.2 單項目管理與項目群管理76
6.3.3 應用成熟度管理80
6.4 測試管理85
6.4.1 測試成熟度模型集成85
6.4.2 測試管理組織架構86
6.4.3 測試管理體系88
6.5 業務部門參與風險管理89
6.5.1 需求階段89
6.5.2 測試階段90
6.5.3 驗收結算90
6.5.4 項目后評價階段90
6.6 本章小結91
第7章 運維管理92
7.1 運維管理體系92
7.1.1 運維服務體系92
7.1.2 運維組織架構95
7.1.3 運維流程管理97
7.2 日常運維管理100
7.2.1 機房基礎設施運維100
7.2.2 網絡運維101
7.2.3 服務器和存儲運維102
7.2.4 基礎軟件運維102
7.2.5 應用運維103
7.3 運維指標體系104
7.3.1 指標體系設計原則104
7.3.2 指標體系設計結果105
7.3.3 指標體系監測和運行機制108
7.4 本章小結110
第8章 業務連續性管理111
8.1 業務連續性管理體系111
8.1.1 業務連續性整體框架111
8.1.2 組織架構112
8.2 業務連續性管理與執行113
8.2.1 業務連續性管理113
8.2.2 應急處置115
8.2.3 災難恢復116
8.3 業務連續性演練與管理評估116
8.3.1 業務連續性演練117
8.3.2 業務連續性管理評估117
8.4 本章小結118
第9章 外包管理119
9.1 外包管理體系119
9.1.1 外包戰略119
9.1.2 外包管理組織架構121
9.1.3 外包管理制度體系122
9.2 外包商管理機制123
9.2.1 外包商準入123
9.2.2 外包商退出124
9.2.3 外包商持續監測和風險評估124
9.3 日常外包管理125
9.3.1 外包人員日常管理機制126
9.3.2 外包人員信息安全管理126
9.3.3 外包人員考評管理127
9.4 降低外包依賴度128
9.4.1 外包依賴風險分析128
9.4.2 降低外包依賴的措施129
9.4.3 效果衡量130
9.5 本章小結130
第二部分 技術防控
第10章 信息科技治理數字化轉型132
10.1 全生命周期工具化、線上化132
10.1.1 信息科技管理工具的整體
架構133
10.1.2 信息科技管理工具的協同
關系135
10.2 項目管理工具138
10.2.1 業務架構139
10.2.2 技術架構141
10.2.3 功能實現143
10.2.4 預期效果144
10.3 架構管理工具145
10.3.1 業務架構145
10.3.2 技術架構148
10.3.3 功能實現149
10.3.4 預期效果151
10.4 本章小結152
第11章 風險管理技術化153
11.1 日常監測工具化153
11.1.1 信息科技風險監測體系及
監測系統153
11.1.2 信息科技關鍵風險指標的
自動化監測155
11.2 監管數據報送自動化156
11.2.1 源數據質量治理157
11.2.2 監管數據自動采集161
11.2.3 監管數據自動校驗163
11.2.4 監管數據自動報送164
11.3 本章小結165
第12章 審計管理166
12.1 現場審計系統166
12.1.1 業務架構167
12.1.2 技術架構168
12.1.3 功能實現170
12.1.4 預期效果171
12.2 非現場審計系統172
12.2.1 業務架構172
12.2.2 技術架構173
12.2.3 功能實現174
12.2.4 預期效果175
12.3 信息系統審計工具175
12.4 審計系統中金融科技的應用177
12.4.1 金融科技背景下內部審計
面臨的挑戰177
12.4.2 大數據智慧審計系統的技術
應用架構177
12.4.3 金融科技在審計系統中的
應用179
12.4.4 預期效果180
12.5 本章小結181
第13章 安全技術架構182
13.1 安全技術架構的組成182
13.1.1 機房安全182
13.1.2 網絡安全184
13.1.3 系統安全189
13.1.4 應用安全192
13.1.5 終端安全194
13.1.6 數據安全196
13.2 安全評估和安全態勢感知198
13.2.1 滲透測試198
13.2.2 網絡安全態勢感知技術架構201
13.2.3 安全態勢感知實施效果205
13.3 安全運營206
13.3.1 組織架構206
13.3.2 安全運營體系207
13.3.3 安全運營實施效果的評價和
持續改進210
13.4 本章小結211
第14章 開發與測試管理212
14.1 開發管理工具的體系建設212
14.1.1 數據管理—數據管控平臺214
14.1.2 接口管理—服務治理217
14.1.3 配置管理—持續集成與
持續發布219
14.2 測試管理工具的體系建設222
14.2.1 測試技術體系222
14.2.2 測試管理平臺223
14.2.3 自動化測試225
14.2.4 性能測試229
14.3 賬務差錯風險規避與解決231
14.3.1 產生賬務差錯風險的兩大
原因232
14.3.2 賬務差錯風險的規避手段233
14.3.3 賬務自動軋賬的設計233
14.4 聯機批量沖突風險的應對方案238
14.4.1 聯機批量沖突風險的分析
歸類238
14.4.2 數據處理沖突風險的解決
方案239
14.4.3 資源使用沖突風險的解決
方案241
14.4.4 聯機批量沖突的案例分析243
14.5 系統更替式升級風險應對方案244
14.5.1 應用系統功能更替的風險244
14.5.2 應用系統數據遷移的風險247
14.5.3 應用系統與其他系統的耦合
風險249
14.6 本章小結250
第15章 數據中心的運維管理251
15.1 信息科技運維技術體系251
15.1.1 運維一體化體系架構252
15.1.2 配置管理數據庫254
15.1.3 監控一體化管理257
15.1.4 操作一體化管理259
15.1.5 IT服務管理261
15.2 運維的標準化、自動化和智能化263
15.2.1 運維標準化建設264
15.2.2 運維自動化建設266
15.2.3 運維智能化建設268
15.3 本章小結272
第16章 金融機構基礎設施系統273
16.1 金融機構基礎設施基本組成273
16.2 金融機構數據中心機房的建設275
16.2.1 數據中心機房規劃設計的
問題與方法275
16.2.2 數據中心機房關鍵模塊的
建設280
16.3 兩地三中心的建設與運維288
16.3.1 主數據中心288
16.3.2 災難備份中心303
16.4 本章小結311
第17章 外包管理平臺312
17.1 外包管理系統312
17.1.1 業務架構312
17.1.2 技術架構313
17.1.3 功能實現313
17.1.4 預期效果315
17.2 外包信息共享平臺315
17.2.1 業務架構316
17.2.2 技術架構316
17.2.3 功能實現317
17.2.4 預期效果319
17.3 本章小結320
第18章 金融科技相關技術與
風險管理321
18.1 金融科技相關技術在風險管理
中的應用321
18.1.1 人工智能和大數據321
18.1.2 區塊鏈324
18.1.3 云計算與邊緣計算324
18.1.4 5G和物聯網325
18.2 新技術應用的風險防范326
18.2.1 人工智能和大數據326
18.2.2 區塊鏈328
18.2.3 云計算330
18.2.4 邊緣計算331
18.2.5 5G和物聯網332
18.3 本章小結334
第19章 業務風險技術防范335
19.1 金融業務風險分析335
19.1.1 金融業務風險的含義335
19.1.2 金融業務風險的種類336
19.1.3 金融業務風險管理發展歷程337
19.2 業務風險技術的防范措施338
19.2.1 建設智能風控體系的步驟338
19.2.2 智能風控技術框架340
19.2.3 智能風控的應用場景341
19.3 本章小結342
第20章 信息技術自主可控343
20.1 信息技術自主可控現狀343
20.2 信息技術自主可控面臨的問題345
20.3 信息技術自主可控的推進策略346
20.3.1 總體原則347
20.3.2 整體規劃347
20.4 信息技術自主可控的應用與
預期效果348
20.5 信息技術自主可控的挑戰349
20.6 本章小結349
第21章 總結及展望350
21.1 總結和啟示350
21.2 未來展望352
21.3 本章小結355
新書資訊