課程描述INTRODUCTION
日程安排SCHEDULE
課程大綱Syllabus
信息科技風險培訓
課程描述
信息科技風險是指信息科技在商業(yè)銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險,在銀行的全部風險中,信息科技風險幾乎是**可能使銀行業(yè)務在瞬間全部癱瘓的重要風險,銀行業(yè)信息系統(tǒng)安全、穩(wěn)健運行,關系銀行業(yè)自身可持續(xù)發(fā)展,關系金融安全。銀保監(jiān)會不斷細化深入信息科技風險監(jiān)管工作,信息科技風險管理作為商業(yè)銀行重要的操作風險管理手段,應當在商業(yè)銀行風險管理中發(fā)揮重要作用。
商業(yè)銀行信息科技風險管理從業(yè)務需求、合規(guī)性需求、信息科技風險管理需求出發(fā),遵從風險管理的理念,在風險管理戰(zhàn)略規(guī)劃的基礎上,全面指導商業(yè)銀行信息科技風險管控工作。隨著國家有關部門、人民銀行、銀保監(jiān)會監(jiān)管要求的提高,如何保障商業(yè)銀行業(yè)務持續(xù)運營、保障業(yè)務數(shù)據(jù)信息安全,解決商業(yè)銀行科技工作深入后帶來的一系列問題,本課程以人民銀行和銀保監(jiān)會發(fā)布的監(jiān)管要求和金融標準為起點,通過介紹監(jiān)管要點、行業(yè)良好實踐,同時,輔以案例分析,為商業(yè)銀行如何保障業(yè)務持續(xù)運營、保護業(yè)務數(shù)據(jù)信息提供良好建議。
培訓人員建議
信息科技風險管理相關人員,包括:
董事會和高級管理層分管信息科技風險管理的高級管理人員
信息科技風險管理三道防線(信息科技部網(wǎng)絡(信息)安全管理、風險管理部信息科技風險管理、內(nèi)部審計部信息科技風險審計)的管理人員和業(yè)務骨干
培訓目的和收益
通過培訓和交流,培訓對象收獲:
監(jiān)管部門要求相關決策層和管理層承擔的責任;
理解推動信息科技風險管理工作可以真正消除決策層(董事會和高級管理層)、信息科技管理部門、風險管理部門和內(nèi)部審計部門之間溝通的障礙,真正找準各自的定位關系,促進信息科技風險管理和業(yè)務風險管理融合,支持銀行業(yè)務創(chuàng)新;
理解信息科技風險管理框架、標準、流程和行業(yè)良好實踐。
培訓方式
知識講解、案例分析、互動研討。
線下現(xiàn)場,網(wǎng)絡直播。
課程大綱
模塊一 商業(yè)銀行信息科技風險形勢
商業(yè)銀行信息科技風險定義
操作風險和信息科技風險
信息科技風險定義、分類和特點
商業(yè)銀行信息科技風險形勢和案例分析
信息科技風險形勢
信息科技風險事件典型案例分析
模塊二 商業(yè)銀行信息科技風險管理監(jiān)管要求
國家法律法規(guī)
法律:網(wǎng)絡安全法,密碼法,電子簽名法,數(shù)據(jù)安全法,個人信息保護法,民法典,消費者權益保護法
法規(guī):關鍵信息基礎設施安全保護條例,網(wǎng)絡安全等級保護條例(征求意見稿)
部門規(guī)章
各部委:*網(wǎng)信辦、公安部、國家保密局、國家密碼管理局、財政部、工信部
人民銀行監(jiān)管要求和金融標準
網(wǎng)絡(信息、數(shù)據(jù))安全
災難恢復
個人金融信息
金融科技
其他政策要求和相關金融標準
銀保監(jiān)會監(jiān)管要求
信息科技風險監(jiān)管
信息科技風險管理/網(wǎng)絡安全治理
專項監(jiān)管要求
網(wǎng)絡(信息、數(shù)據(jù))安全
業(yè)務連續(xù)性管理
信息科技外包管理
其它政策要求
模塊三 商業(yè)銀行信息科技風險管理參考標準和良好實踐
國家標準
GB/T標準
行業(yè)/團體標準
國際標準
ISO(9000,20000,27000,22301)系列
良好實踐
COBIT 2019/5.0、CMMI、DRI、BCI、DAMA等
第二天和第三天
模塊三 商業(yè)銀行信息科技風險管理框架
風險管理目標
風險戰(zhàn)略
風險偏好
風險容忍度
風險管理流程
風險領域
風險管理工具
風險管理流程
風險管理機制
組織架構
管理制度和流程
風險文化
績效考核
意識教育和培訓
風險信息溝通和報告
審計監(jiān)督
模塊四 商業(yè)銀行信息科技風險管理實踐
信息科技治理
問題、難點、痛點
信息科技治理體系(三道防線)
專項工作:現(xiàn)場和非現(xiàn)場監(jiān)管應對(信息科技風險評級)
信息科技風險管理
問題、難點、痛點
全面風險管理、操作風險管理和信息科技風險管理,二道防線與一道防線、三道防線的區(qū)別和互動
信息科技風險管理體系
信息科技風險管理日常運作
專項工作:信息科技非現(xiàn)場監(jiān)管報表,風險評估
網(wǎng)絡(信息、數(shù)據(jù)、個人金融信息)安全
問題、難點、痛點
網(wǎng)絡安全、信息安全、數(shù)據(jù)安全、個人金融信息安全的區(qū)別和聯(lián)系
網(wǎng)絡(信息)安全治理和管理
網(wǎng)絡(信息)安全技術
專項工作:網(wǎng)絡安全等級保護/關鍵信息基礎設施安全保護,數(shù)據(jù)安全(監(jiān)管數(shù)據(jù)治理和安全),個人金融信息保護,重保和護網(wǎng)
信息系統(tǒng)開發(fā)、測試和維護
問題、難點、痛點
信息系統(tǒng)開發(fā)、測試和維護管理流程、技術和風險管理
專項工作:投產(chǎn)變更風險評估和處置、軟件代碼安全
信息科技運行
問題、難點、痛點
信息科技服務管理流程、技術和風險管理
專項工作:數(shù)據(jù)中心日常管理、投產(chǎn)和變更管理、突發(fā)事件應急管理和信息系統(tǒng)災難恢復
業(yè)務連續(xù)性管理
問題、難點、痛點
業(yè)務連續(xù)性管理和信息系統(tǒng)災難恢復
信息科技外包
問題、難點、痛點
信息科技外包風險治理和管理
專項工作:外包準入、外包監(jiān)控評價、外包風險管理
信息科技審計
問題、難點、痛點
風險自評估、風險評估和內(nèi)部審計的區(qū)別和互動,外部審計(內(nèi)審外包)
全面風險審計和專項風險審計項目
信息化建設
問題、難點、痛點
數(shù)字化轉(zhuǎn)型和金融科技風險
信息化績效風險
信息科技風險培訓
轉(zhuǎn)載:http://szsxbj.com/gkk_detail/310866.html