编辑推荐
适读人群 :商业银行信息科技部门的信息系统研发风险管控人员,商业银行及其他相关机构信息科技风 这套《银行业信息化丛书》致力于挖掘、研究、总结、提炼和传播国内外信息化*佳实践、宝贵经验和*新成果,内容涵盖银行业信息科技治理与管理、信息系统开发与应用创新、信息安全、基础设施与运行维护、信息科技监管等主要领域,将为银行业信息科技人才培养提供一些基础性、前瞻性、实用性的知识和信息。
内容简介
《商业银行信息系统研发风险管控》通过对商业银行信息系统研发风险的定义、成因、分类和问题的分析研究,提出了商业银行开展信息系统研发风险管控的理论依据、实践方法和实践过程。全书分为基础篇、管理篇和技术篇。基础篇主要阐述商业银行信息系统研发风险的概念、法规、政策与相关标准;管理篇主要阐述商业银行信息系统研发风险管控模型、管控体系、管控方法、实践案例等内容;技术篇主要介绍信息系统安全开发的策略、方法和相关技术。
目录
总序序前言基础篇第1章商业银行信息系统研发风险管控基础知识21.1信息系统研发风险管控概述21.1.1信息系统和信息系统研发21.1.2信息系统研发风险61.1.3信息系统研发风险与其他相关领域的关系71.1.4信息系统研发风险管控131.2商业银行信息系统研发风险管控概述151.2.1商业银行的主要业务和信息系统151.2.2商业银行信息系统研发风险221.2.3商业银行研发风险在全面风险管理体系中的位置231.2.4商业银行研发风险管控策略30第2章商业银行研发风险管控相关法规、政策与标准342.1信息安全相关法律法规342.1.1世界各国信息安全立法的发展342.1.2我国信息安全法律法规体系362.1.3我国主要法律法规简介392.2商业银行研发风险管控相关政策和指引422.2.1商业银行研发风险监管现状概述422.2.2主要监管政策和指引452.3商业银行研发风险管控相关信息安全标准492.3.1信息安全标准的基本概念492.3.2信息安全标准化概述512.3.3主要信息安全标准介绍54管理篇第3章商业银行研发风险管控理论和模型633.1研发风险管控相关理论和模型633.1.1安全开发生命周期633.1.2软件安全接触点653.1.3综合轻量级应用安全过程673.1.4软件保证成熟度693.1.5软件安全框架703.1.6BSI成熟模型713.1.7信息安全保障723.2商业银行研发风险管控模型743.2.1商业银行研发风险管控模型的设计743.2.2商业银行研发风险管控模型的内容763.2.3商业银行研发风险管控模型的特点77第4章商业银行研发风险管控体系784.1商业银行研发风险管控体系建设784.1.1商业银行研发风险管控体系建设思路784.1.2商业银行研发风险管控体系总体架构794.1.3商业银行研发风险管控体系运行机制804.2商业银行研发风险管控组织体系814.2.1商业银行研发风险管控组织体系概述814.2.2商业银行研发风险管控组织体系建设824.3商业银行研发风险管控制度体系844.3.1商业银行研发风险管控制度体系概述844.3.2商业银行研发风险管控制度体系建设854.4商业银行研发风险管控标准体系864.4.1安全定级指南874.4.2安全需求指南904.4.3安全设计指南934.4.4安全编码规范954.5安全技术支持服务体系98第5章商业银行研发风险管控工作流程1025.1立项阶段研发风险管控工作流程1045.2计划阶段研发风险管控工作流程1045.2.1安全团队建设1055.2.2安全培训1055.2.3安全管理计划制订1065.3需求阶段研发风险管控工作流程1065.3.1安全需求制定1075.3.2安全需求评审1075.4设计阶段研发风险管控工作流程1075.4.1安全设计1085.4.2安全设计评审1085.5编码阶段研发风险管控工作流程1095.5.1源代码安全审核1095.5.2安全需求实现审核1095.6测试阶段研发风险管控工作流程1105.6.1安全测试1115.6.2渗透测试1115.7投产运维阶段研发风险管控工作流程112第6章商业银行研发风险管控工作方法1136.1安全培训1136.1.1安全培训概述1136.1.2安全培训体系1146.1.3安全培训的实施1166.2安全评审1166.2.1安全评审概述1166.2.2安全评审的内容1176.2.3安全评审的方法1186.3风险评估1186.3.1风险评估的概念1186.3.2风险评估的方法1206.3.3风险评估的工具1246.3.4风险评估的实施1246.4安全后评价1276.4.1安全后评价概述1276.4.2安全后评价的要素1276.4.3安全后评价的实施128第7章商业银行研发外包风险管控1317.1商业银行研发外包风险概述1317.1.1IT外包的基本概念1317.1.2商业银行IT外包风险概述1337.1.3商业银行研发外包风险1357.2商业银行研发外包风险管控措施1357.2.1商业银行研发外包风险管控相关监管要求1357.2.2商业银行研发外包风险管控工作方法136第8章商业银行研发风险管控案例1408.1商业银行研发风险管控项目案例1408.1.1项目背景1408.1.2项目研发风险管控工作实施情况1418.2商业银行研发外包风险管控项目案例1458.2.1项目背景1458.2.2项目研发外包风险管控工作实施情况146技术篇第9章信息系统安全研发策略和方法1509.1安全研发策略和原则1509.1.1安全研发策略1509.1.2安全设计原则1519.2威胁建模1549.2.1威胁建模的定义1549.2.2威胁建模的对象1549.2.3威胁建模的过程1559.3攻击面*小化分析1579.3.1攻击面*小化分析的概念1579.3.2攻击面*小化分析过程1589.4安全架构和组件1599.4.1安全架构1599.4.2安全组件1609.5源代码安全审核1639.5.1源代码安全审核的概念1639.5.2源代码安全审核原理1639.5.3源代码安全审核工具1649.6渗透测试1659.6.1渗透测试的概念1659.6.2渗透测试步骤与方法166第10章信息系统安全研发技术16810.1身份认证16910.1.1身份认证的基本概念16910.1.2身份认证模式的分类16910.1.3身份认证技术17110.2访问控制17410.2.1访问控制概述17410.2.2访问控制策略17510.2.3访问控制模型17610.3安全审计17910.3.1安全审计概述17910.3.2安全审计的内容18010.3.3安全审计的实施18010.4密码技术18110.4.1密码技术概述18110.4.2加密算法概述18410.4.3密码技术应用18510.5网络安全18810.5.1网络安全基础18810.5.2网络安全协议19110.5.3常见网络安全威胁19410.5.4常见网络安全技术19810.6漏洞防护20710.6.1安全漏洞的概念20810.6.2安全漏洞的分类和分级20910.6.3常见安全漏洞及防护21010.7操作系统安全22010.7.1操作系统概述22010.7.2操作系统安全概述22210.7.3操作系统安全的实现22310.8数据库系统安全22510.8.1数据库系统概述22510.8.2数据库系统安全概述22810.8.3数据库系统安全的实现23010.9数据安全23410.9.1数据安全的概念23410.9.2数据安全保护措施23610.10其他安全技术23810.10.1互联网金融安全23810.10.2大数据安全24210.10.3云计算安全24610.10.4物联网安全251参考文献257
精彩书摘
《商业银行信息系统研发风险管控》:
(6)商业银行内部控制指引2014年9月12日,银监会发布了修订后的《商业银行内部控制指引》。修订后的《商业银行内部控制指引》主要从内控评价、内控监督、监管约束、监管引领四个方面,来引导商业银行强化内控管理。
《商业银行内部控制指引》强调,内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。此外,规范了内部控制的治理和组织架构,明确了董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门等各主体关于内部控制的职责分工。
在信息科技方面,《商业银行内部控制指引》要求商业银行应当加强对信息的安全控制和保密管理,对各类信息实施分等级的安全管理,对信息系统访问实施权限管理,确保信息安全。
(7)电子银行安全评估指引2006年,银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》。指引所指的电子银行包括两部分:网上银行、电话银行和手机银行;其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务,包括自助银行、ATM机等。
……
前言/序言
随着信息科技与商业银行业务的深度融合,商业银行业务对信息系统的依赖性日益增强,银行信息化的快速发展,对信息科技风险管理提出了更高的要求。如何防范信息科技风险,已成为商业银行必须认真面对的一个重要课题。其中研发风险管理是信息科技风险管理的一个重要领域。 本书旨在指导商业银行开展信息系统研发风险管控工作,防范信息系统研发过程中的安全需求风险、安全设计风险、系统安全漏洞、合规风险、外包风险等各类研发风险,提高商业银行信息系统的安全可靠性,以增强银行的核心竞争力和可持续发展能力。本书采取理论模型指导实践的思路,从组织、制度、标准、技术等方面入手,提出了开展研发风险管控的管理依据、理论模型、管理策略、管理方法、技术手段和实践案例。为了提高本书的专业性和指导性,提高内容深度和质量,本书在全面讲解商业银行信息系统研发风险管控体系的基础上,积极跟踪行业发展趋势,扩展了研发风险管控体系理论解读、商业银行研发风险管控理论、研发风险管理实践指导、研发风险管控案例、研发风险管理技术研究、管理探索、新技术探索等相关内容,为读者提供了更广泛的借鉴。 本书注重理论与实践相结合,具有较强的现实意义,为商业银行深入开展研发风险管理提供全新的视角,适合我国商业银行软件风险管理团队、研发管理团队使用。本书分为基础篇、管理篇和技术篇,共计十章。基础篇介绍了商业银行研发风险的概念、法规、政策与相关标准;管理篇介绍了商业银行信息系统研发风险管控模型、研发风险管控体系、研发风险管控工作方法、研发外包风险管控等内容;技术篇介绍了信息系统安全开发策略方法和安全开发的相关技术。为了使读者能够更深入地理解研发风险管控体系,书中还收集了部分商业银行研发风险管控实际案例,以有效提供参考,使理论与实践能够有机结合。 本书由中国农业银行研发风险管控课题组共同编著。编著团队的主要成员有蔡钊、张方、陈典友、李阳、姜帆、王琰、曹玉磊、孙玮、薛建伟、姚元庆和毛南。范瑾辉、高松、李涵阳、王喜辉、罗志云、关磊和王衍锋等同志也参与了本书部分内容的编写。在本书编著过程中,得到了中国农业银行信息化建设技术专家委员会的大力支持与帮助。同时,衷心感谢中国农业银行王俊、张红喜、赵晓东、张冰等各相关领域技术专家对本书初稿的审阅和建议,衷心感谢中信银行申贵平、工商银行杨雷、华夏银行张志田三位银行业信息科技发展与风险管理专家对本书提出的评审意见;衷心感谢中国银监会银行业信息科技监管部的谢翀达主任、梁峰处长对本书的高度重视和深切关怀。此外,还要衷心感谢机械工业出版社的大力支持与帮助。 在编著过程中,编著团队查阅和参考了大量文献资料,限于篇幅,未能在书后的参考文献中全部列出,在此一并致谢。由于编著团队水平有限,书中难免存在谬误和不足之处,希望各位读者批评指正。 编著者
商业银行信息系统研发风险管控 下载 mobi epub pdf txt 电子书 格式