课程描述

信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险，在银行的全部风险中，信息科技风险几乎是唯一可能使银行业务在瞬间全部瘫痪的重要风险，银行业信息系统安全、稳健运行，关系银行业自身可持续发展，关系金融安全。银保监会不断细化深入信息科技风险监管工作，信息科技风险管理作为商业银行重要的操作风险管理手段，应当在商业银行风险管理中发挥重要作用。

商业银行信息科技风险管理从业务需求、合规性需求、信息科技风险管理需求出发，遵从风险管理的理念，在风险管理战略规划的基础上，全面指导商业银行信息科技风险管控工作。随着国家有关部门、人民银行、银保监会监管要求的提高，如何保障商业银行业务持续运营、保障业务数据信息安全，解决商业银行科技工作深入后带来的一系列问题，本课程以人民银行和银保监会发布的监管要求和金融标准为起点，**介绍监管要点、行业良好实践，同时，辅以案例分析，为商业银行如何保障业务持续运营、保护业务数据信息提供良好建议。

培训人员建议

信息科技风险管理相关人员，包括:

董事会和高级管理层分管信息科技风险管理的高级管理人员

信息科技风险管理三道防线（信息科技部网络(信息)安全管理、风险管理部信息科技风险管理、内部审计部信息科技风险审计）的管理人员和业务骨干

培训目的和收益

**培训和交流，培训对象收获：

监管部门要求相关决策层和管理层承担的责任；

理解推动信息科技风险管理工作可以真正消除决策层（董事会和高级管理层）、信息科技管理部门、风险管理部门和内部审计部门之间沟通的障碍，真正找准各自的定位关系，促进信息科技风险管理和业务风险管理融合，支持银行业务创新；

理解信息科技风险管理框架、标准、流程和行业良好实践。

培训方式

知识讲解、案例分析、互动研讨。

线下现场，网络直播。

时间：3天

模块一 商业银行信息科技风险形势

商业银行信息科技风险定义

操作风险和信息科技风险

信息科技风险定义、分类和特点

商业银行信息科技风险形势和案例分析

信息科技风险形势

信息科技风险事件典型案例分析

模块二 商业银行信息科技风险管理监管要求

国家法律法规

法律：网络安全法，密码法，电子签名法，数据安全法，个人信息保护法，民法典，消费者权益保护法

法规：关键信息基础设施安全保护条例，网络安全等级保护条例（征求意见稿）

部门规章

各部委：中央网信办、公安部、国家保密局、国家密码管理局、财政部、工信部

人民银行监管要求和金融标准

网络（信息、数据）安全

灾难恢复

个人金融信息

金融科技

其他政策要求和相关金融标准

银保监会监管要求

信息科技风险监管

信息科技风险管理/网络安全治理

专项监管要求

网络（信息、数据）安全

业务连续性管理

信息科技外包管理

其它政策要求

模块三 商业银行信息科技风险管理参考标准和良好实践

国家标准

GB/T标准

行业/团体标准

国际标准

ISO（9000,20000,27000,22301）系列

良好实践

COBIT 2019/5.0、CMMI、DRI、BCI、DAMA等

第二天和第三天

模块三 商业银行信息科技风险管理框架

风险管理目标

风险战略

风险偏好

风险容忍度

风险管理流程

风险领域

风险管理工具

风险管理流程

风险管理机制

组织架构

管理制度和流程

风险文化

绩效考核

意识教育和培训

风险信息沟通和报告

审计监督

模块四 商业银行信息科技风险管理实践

信息科技治理

问题、难点、痛点

信息科技治理体系（三道防线）

专项工作：现场和非现场监管应对（信息科技风险评级）

信息科技风险管理

问题、难点、痛点

全面风险管理、操作风险管理和信息科技风险管理，二道防线与一道防线、三道防线的区别和互动

信息科技风险管理体系

信息科技风险管理日常运作

专项工作：信息科技非现场监管报表，风险评估

网络（信息、数据、个人金融信息）安全

问题、难点、痛点

网络安全、信息安全、数据安全、个人金融信息安全的区别和联系

网络（信息）安全治理和管理

网络（信息）安全技术

专项工作：网络安全等级保护/关键信息基础设施安全保护,数据安全（监管数据治理和安全）,个人金融信息保护，重保和护网

信息系统开发、测试和维护

问题、难点、痛点

信息系统开发、测试和维护管理流程、技术和风险管理

专项工作：投产变更风险评估和处置、软件代码安全

信息科技运行

问题、难点、痛点

信息科技服务管理流程、技术和风险管理

专项工作：数据中心日常管理、投产和变更管理、突发事件应急管理和信息系统灾难恢复

业务连续性管理

问题、难点、痛点

业务连续性管理和信息系统灾难恢复

信息科技外包

问题、难点、痛点

信息科技外包风险治理和管理

专项工作：外包准入、外包监控评价、外包风险管理

信息科技审计

问题、难点、痛点

风险自评估、风险评估和内部审计的区别和互动，外部审计（内审外包）

全面风险审计和专项风险审计项目

信息化建设

问题、难点、痛点

数字化转型和金融科技风险

信息化绩效风险

时间

每模块半天3小时，模块可组合为1天，2天，3天课程，模块内容可以根据客户需求剪裁，详细讲，概述讲。

内训案例

金融行业：

大行：中国工商银行,中国银行,交通银行,中国邮政储蓄银行

股份：兴业银行、中信银行、平安银行

城商：宁夏银行、山东省城市商业银行合作联盟有限公司

农信：江苏省联社、陕西省联社、山西省联社、河南省联社，佛山农商行，顺德农商银行，武汉农商行，农信银资金清算中心

民营银行：微众银行

外资银行：澳新银行，渣打银行

其它：中国银联，山东银监局（全省城商行和山东省联社），四川银行业协会，长盛基金管理有限公司

金融控股：中信金融控股公司，平安保险（集团） 及旗下各专业子公司，远东金融租赁公司，

信息科技风险审计/信息安全审计

运营商：中国移动安全管理和运营中心，中国移动（深圳）有限公司，四川移动，泸州移动

政府：陕西省审计厅

航空：中国国际航空公司

公用事业：广州地铁公司

互联网：百度（Baidu.com）公司