編輯推薦
適讀人群 :商業銀行信息科技部門的信息係統研發風險管控人員,商業銀行及其他相關機構信息科技風 這套《銀行業信息化叢書》緻力於挖掘、研究、總結、提煉和傳播國內外信息化*佳實踐、寶貴經驗和*新成果,內容涵蓋銀行業信息科技治理與管理、信息係統開發與應用創新、信息安全、基礎設施與運行維護、信息科技監管等主要領域,將為銀行業信息科技人纔培養提供一些基礎性、前瞻性、實用性的知識和信息。
內容簡介
《商業銀行信息係統研發風險管控》通過對商業銀行信息係統研發風險的定義、成因、分類和問題的分析研究,提齣瞭商業銀行開展信息係統研發風險管控的理論依據、實踐方法和實踐過程。全書分為基礎篇、管理篇和技術篇。基礎篇主要闡述商業銀行信息係統研發風險的概念、法規、政策與相關標準;管理篇主要闡述商業銀行信息係統研發風險管控模型、管控體係、管控方法、實踐案例等內容;技術篇主要介紹信息係統安全開發的策略、方法和相關技術。
目錄
總序序前言基礎篇第1章商業銀行信息係統研發風險管控基礎知識21.1信息係統研發風險管控概述21.1.1信息係統和信息係統研發21.1.2信息係統研發風險61.1.3信息係統研發風險與其他相關領域的關係71.1.4信息係統研發風險管控131.2商業銀行信息係統研發風險管控概述151.2.1商業銀行的主要業務和信息係統151.2.2商業銀行信息係統研發風險221.2.3商業銀行研發風險在全麵風險管理體係中的位置231.2.4商業銀行研發風險管控策略30第2章商業銀行研發風險管控相關法規、政策與標準342.1信息安全相關法律法規342.1.1世界各國信息安全立法的發展342.1.2我國信息安全法律法規體係362.1.3我國主要法律法規簡介392.2商業銀行研發風險管控相關政策和指引422.2.1商業銀行研發風險監管現狀概述422.2.2主要監管政策和指引452.3商業銀行研發風險管控相關信息安全標準492.3.1信息安全標準的基本概念492.3.2信息安全標準化概述512.3.3主要信息安全標準介紹54管理篇第3章商業銀行研發風險管控理論和模型633.1研發風險管控相關理論和模型633.1.1安全開發生命周期633.1.2軟件安全接觸點653.1.3綜閤輕量級應用安全過程673.1.4軟件保證成熟度693.1.5軟件安全框架703.1.6BSI成熟模型713.1.7信息安全保障723.2商業銀行研發風險管控模型743.2.1商業銀行研發風險管控模型的設計743.2.2商業銀行研發風險管控模型的內容763.2.3商業銀行研發風險管控模型的特點77第4章商業銀行研發風險管控體係784.1商業銀行研發風險管控體係建設784.1.1商業銀行研發風險管控體係建設思路784.1.2商業銀行研發風險管控體係總體架構794.1.3商業銀行研發風險管控體係運行機製804.2商業銀行研發風險管控組織體係814.2.1商業銀行研發風險管控組織體係概述814.2.2商業銀行研發風險管控組織體係建設824.3商業銀行研發風險管控製度體係844.3.1商業銀行研發風險管控製度體係概述844.3.2商業銀行研發風險管控製度體係建設854.4商業銀行研發風險管控標準體係864.4.1安全定級指南874.4.2安全需求指南904.4.3安全設計指南934.4.4安全編碼規範954.5安全技術支持服務體係98第5章商業銀行研發風險管控工作流程1025.1立項階段研發風險管控工作流程1045.2計劃階段研發風險管控工作流程1045.2.1安全團隊建設1055.2.2安全培訓1055.2.3安全管理計劃製訂1065.3需求階段研發風險管控工作流程1065.3.1安全需求製定1075.3.2安全需求評審1075.4設計階段研發風險管控工作流程1075.4.1安全設計1085.4.2安全設計評審1085.5編碼階段研發風險管控工作流程1095.5.1源代碼安全審核1095.5.2安全需求實現審核1095.6測試階段研發風險管控工作流程1105.6.1安全測試1115.6.2滲透測試1115.7投産運維階段研發風險管控工作流程112第6章商業銀行研發風險管控工作方法1136.1安全培訓1136.1.1安全培訓概述1136.1.2安全培訓體係1146.1.3安全培訓的實施1166.2安全評審1166.2.1安全評審概述1166.2.2安全評審的內容1176.2.3安全評審的方法1186.3風險評估1186.3.1風險評估的概念1186.3.2風險評估的方法1206.3.3風險評估的工具1246.3.4風險評估的實施1246.4安全後評價1276.4.1安全後評價概述1276.4.2安全後評價的要素1276.4.3安全後評價的實施128第7章商業銀行研發外包風險管控1317.1商業銀行研發外包風險概述1317.1.1IT外包的基本概念1317.1.2商業銀行IT外包風險概述1337.1.3商業銀行研發外包風險1357.2商業銀行研發外包風險管控措施1357.2.1商業銀行研發外包風險管控相關監管要求1357.2.2商業銀行研發外包風險管控工作方法136第8章商業銀行研發風險管控案例1408.1商業銀行研發風險管控項目案例1408.1.1項目背景1408.1.2項目研發風險管控工作實施情況1418.2商業銀行研發外包風險管控項目案例1458.2.1項目背景1458.2.2項目研發外包風險管控工作實施情況146技術篇第9章信息係統安全研發策略和方法1509.1安全研發策略和原則1509.1.1安全研發策略1509.1.2安全設計原則1519.2威脅建模1549.2.1威脅建模的定義1549.2.2威脅建模的對象1549.2.3威脅建模的過程1559.3攻擊麵*小化分析1579.3.1攻擊麵*小化分析的概念1579.3.2攻擊麵*小化分析過程1589.4安全架構和組件1599.4.1安全架構1599.4.2安全組件1609.5源代碼安全審核1639.5.1源代碼安全審核的概念1639.5.2源代碼安全審核原理1639.5.3源代碼安全審核工具1649.6滲透測試1659.6.1滲透測試的概念1659.6.2滲透測試步驟與方法166第10章信息係統安全研發技術16810.1身份認證16910.1.1身份認證的基本概念16910.1.2身份認證模式的分類16910.1.3身份認證技術17110.2訪問控製17410.2.1訪問控製概述17410.2.2訪問控製策略17510.2.3訪問控製模型17610.3安全審計17910.3.1安全審計概述17910.3.2安全審計的內容18010.3.3安全審計的實施18010.4密碼技術18110.4.1密碼技術概述18110.4.2加密算法概述18410.4.3密碼技術應用18510.5網絡安全18810.5.1網絡安全基礎18810.5.2網絡安全協議19110.5.3常見網絡安全威脅19410.5.4常見網絡安全技術19810.6漏洞防護20710.6.1安全漏洞的概念20810.6.2安全漏洞的分類和分級20910.6.3常見安全漏洞及防護21010.7操作係統安全22010.7.1操作係統概述22010.7.2操作係統安全概述22210.7.3操作係統安全的實現22310.8數據庫係統安全22510.8.1數據庫係統概述22510.8.2數據庫係統安全概述22810.8.3數據庫係統安全的實現23010.9數據安全23410.9.1數據安全的概念23410.9.2數據安全保護措施23610.10其他安全技術23810.10.1互聯網金融安全23810.10.2大數據安全24210.10.3雲計算安全24610.10.4物聯網安全251參考文獻257
精彩書摘
《商業銀行信息係統研發風險管控》:
(6)商業銀行內部控製指引2014年9月12日,銀監會發布瞭修訂後的《商業銀行內部控製指引》。修訂後的《商業銀行內部控製指引》主要從內控評價、內控監督、監管約束、監管引領四個方麵,來引導商業銀行強化內控管理。
《商業銀行內部控製指引》強調,內部控製是商業銀行董事會、監事會、高級管理層和全體員工參與的,通過製定和實施係統化的製度、流程和方法,實現控製目標的動態過程和機製。此外,規範瞭內部控製的治理和組織架構,明確瞭董事會、監事會、高級管理層、內控管理職能部門、內部審計部門、業務部門等各主體關於內部控製的職責分工。
在信息科技方麵,《商業銀行內部控製指引》要求商業銀行應當加強對信息的安全控製和保密管理,對各類信息實施分等級的安全管理,對信息係統訪問實施權限管理,確保信息安全。
(7)電子銀行安全評估指引2006年,銀監會發布《電子銀行業務管理辦法》和《電子銀行安全評估指引》。指引所指的電子銀行包括兩部分:網上銀行、電話銀行和手機銀行;其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務,包括自助銀行、ATM機等。
……
前言/序言
隨著信息科技與商業銀行業務的深度融閤,商業銀行業務對信息係統的依賴性日益增強,銀行信息化的快速發展,對信息科技風險管理提齣瞭更高的要求。如何防範信息科技風險,已成為商業銀行必須認真麵對的一個重要課題。其中研發風險管理是信息科技風險管理的一個重要領域。 本書旨在指導商業銀行開展信息係統研發風險管控工作,防範信息係統研發過程中的安全需求風險、安全設計風險、係統安全漏洞、閤規風險、外包風險等各類研發風險,提高商業銀行信息係統的安全可靠性,以增強銀行的核心競爭力和可持續發展能力。本書采取理論模型指導實踐的思路,從組織、製度、標準、技術等方麵入手,提齣瞭開展研發風險管控的管理依據、理論模型、管理策略、管理方法、技術手段和實踐案例。為瞭提高本書的專業性和指導性,提高內容深度和質量,本書在全麵講解商業銀行信息係統研發風險管控體係的基礎上,積極跟蹤行業發展趨勢,擴展瞭研發風險管控體係理論解讀、商業銀行研發風險管控理論、研發風險管理實踐指導、研發風險管控案例、研發風險管理技術研究、管理探索、新技術探索等相關內容,為讀者提供瞭更廣泛的藉鑒。 本書注重理論與實踐相結閤,具有較強的現實意義,為商業銀行深入開展研發風險管理提供全新的視角,適閤我國商業銀行軟件風險管理團隊、研發管理團隊使用。本書分為基礎篇、管理篇和技術篇,共計十章。基礎篇介紹瞭商業銀行研發風險的概念、法規、政策與相關標準;管理篇介紹瞭商業銀行信息係統研發風險管控模型、研發風險管控體係、研發風險管控工作方法、研發外包風險管控等內容;技術篇介紹瞭信息係統安全開發策略方法和安全開發的相關技術。為瞭使讀者能夠更深入地理解研發風險管控體係,書中還收集瞭部分商業銀行研發風險管控實際案例,以有效提供參考,使理論與實踐能夠有機結閤。 本書由中國農業銀行研發風險管控課題組共同編著。編著團隊的主要成員有蔡釗、張方、陳典友、李陽、薑帆、王琰、曹玉磊、孫瑋、薛建偉、姚元慶和毛南。範瑾輝、高鬆、李涵陽、王喜輝、羅誌雲、關磊和王衍鋒等同誌也參與瞭本書部分內容的編寫。在本書編著過程中,得到瞭中國農業銀行信息化建設技術專傢委員會的大力支持與幫助。同時,衷心感謝中國農業銀行王俊、張紅喜、趙曉東、張冰等各相關領域技術專傢對本書初稿的審閱和建議,衷心感謝中信銀行申貴平、工商銀行楊雷、華夏銀行張誌田三位銀行業信息科技發展與風險管理專傢對本書提齣的評審意見;衷心感謝中國銀監會銀行業信息科技監管部的謝翀達主任、梁峰處長對本書的高度重視和深切關懷。此外,還要衷心感謝機械工業齣版社的大力支持與幫助。 在編著過程中,編著團隊查閱和參考瞭大量文獻資料,限於篇幅,未能在書後的參考文獻中全部列齣,在此一並緻謝。由於編著團隊水平有限,書中難免存在謬誤和不足之處,希望各位讀者批評指正。 編著者
商業銀行信息係統研發風險管控 下載 mobi epub pdf txt 電子書 格式