前言
【为什么要写这本书】
本书作者均奋战在金融科技前沿领域多年,在致力于利用信息科技赋能金融机构业务发展的道路上贡献着自己的力量。我们决定将各自积累的信息科技风险管理方面的经验整理出来,编撰成书,在对经验进行总结并加以分析的同时,探索更多合理、高效的信息科技风险管理最佳实践。
信息科技对金融业务发展所起的作用是举足轻重的。近年来,金融机构在战略规划中相继引入科技引领的概念。作为金融机构信息科技从业人员,我们笃信信息科技是一个非常有用的工具,一个兼具产品思维和管理思维、拥有高质增效能力的工具。这个工具如果在金融机构的业务发展中被很好地利用,可以帮助业务部门在开拓市场的过程中乘风破浪、激流勇进,创造丰硕成果;如果用不好信息科技这个工具,则可能引发信息科技风险,不仅损害金融机构业务的发展,还可能破坏金融业的安全和国家金融体系的稳定,信息科技风险甚至成为唯一可能使银行业务在瞬间全部瘫痪的重要风险。那么如何在充分利用好信息科技赋能金融机构业务发展的同时,做好金融机构信息科技风险管理,是本书将重点探讨的
内容。
金融机构风险管理的关键在于得到金融机构上上下下、里里外外相关人员的重视,在金融机构信息科技的各个领域做好全面的风险管控,避免百密一疏。
写作本书的目的,并非要大家谈虎色变,惧怕信息科技风险而因噎废食,而是让读者在充分认识和理解信息科技风险管理的基础上,更好地利用信息科技的手段促进本机构的业务发展。风险管理做得足够好,往往能够创造更多、更好的机会。希望本书能够帮助广大读者在日后的工作中更好地管理信息科技风险,在本职工作中努力创新,利用信息科技工具推动本机构业务的发展,创造更辉煌的未来。
【读者对象】
金融机构高层管理人员。
金融机构首席信息官。
金融机构业务部门、信息科技部门工作人员。
金融机构的IT服务商等。
【本书特色】
相较于其他关于信息科技风险的图书,本书的主要特点如下。
本书对金融机构信息科技风险管理进行了较全面的论述。对于金融机构信息科技风险管理的八大领域,本书均有细致而完整的梳理和分析,并提出了独到的见解。
本书注重理论与实践相结合,内容分为合规管理和技术防控两部分。第一部分针对信息科技风险管理的监管要求加以分析和说明,并总结出行之有效的方法论。第二部分本着技防胜于人防的观点,结合业界在各个领域的最新发展动态,提出了信息科技风险管理的信息化、自动化和智能化实施方案,概括了各场景下信息科技风险管理的最佳实践。
本书紧扣热点,针对金融科技技术应用蓬勃发展以及近年来提出的信息技术自主可控等话题进行了探讨,并根据作者的从业经历,给出了一系列可快速落地的方案。
【如何阅读本书】
本书分为两部分。
第一部分为合规管理(第1~9章),主要分析了新时代金融机构信息科技风险的态势,并逐一阐述金融机构信息科技风险管理八大领域。
第二部分为技术防控(第10~21章),从技术防控角度阐述了各个细分领域风险管理信息化、自动化和智能化的最佳实践,并对金融机构信息科技风险管理的未来进行了展望。
商品简介
这是一本能系统指导银行等金融机构切实做好信息科技风险管理从而提升业务价值的著作。它是5位资深的银行业科技工作者近20年的工作总结,汇聚了他们在大型商业银行、股份制银行、城商行的宝贵经验。
本书的理念是:“从容驾驭科技风险,让合规创造价值”,从合规管理和技术防控2个维度全面地分析和讲解了信息科技风险管理的监管规则、合规要求、技术方案和实施方法等,可以作为信息科技风险管理的标准参考书。
合规管理层面:基于对信息科技风险管理的监管要求的深入分析和作者团队丰富的从业经验,总结了信息科技治理、信息科技风险管理、信息科技审计、信息安全管理、信息科技开发及测试、信息科技运行及维护、业务连续性管理、信息科技外包管理8大领域的方法论和落地要求。
技术防控层面:从业务架构、技术架构、功能实现、预期效果等维度详细讲解了以上8大领域的自动化、智能化实施方案;除此之外,还讲解了业务风险防范过程中信息技术的应用,以及金融机构信息技术自主可控的现状和挑战。
作者简介
李燕
现任某银行科技部总经理室成员,具有18年商业银行总行科技工作经验,在金融科技管理、系统开发、测试、科技风险和信息安全等方面均有丰富经验。2019年与人合著《企业安全建设指南:金融行业安全架构与技术实践》,2021年作为领导小组成员和主要执笔人编著《智慧监管探索与实践》,在 《中国金融电脑》 《中国信息安全》《金融科技时代》等杂志发表多篇论文。
林卫华
某银行信息科技部副总,具有22年商业银行总行信息科技从业经验。曾担任某大型商业银行软件开发中心应用支持部总经理和海外支持部总经理职务,多次主要参与和主持银行信息系统大型项目和工程的研发与实施工作,包括会计科目体系改革、银行核心系统的更替升级、两地三中心工程的实施等。在金融信息系统的架构设计、开发、运维以及业务连续性建设方面均有丰富的经验和独到的见解。
杨春明
项目管理师、经济师。具有18年商业银行总行信息科技工作经验,主持过全国性股份制银行的应用系统建设工作,具有大型复杂项目的管理能力和专业技术能力。曾参与中小银行从筹备到快速发展的信息科技历程,对银行业务有广泛的了解。在银行金融产品开发测试、风险管理及运营维护方面有深入的实践和理解。
秦志华
某商业银行总行信息科技部运维团队负责人,具有20年运维工作经历,主持过商业银行总行数据中心机房、网络、系统等方面的筹建与运维管理工作,具用丰富的数据中心基础设施建设与运维管理经验,在两地三中心建设与业务连续性管理方面有深入实践与理解。
赖胜枢
先后在500强外企中国研发中心、商业银行总行信息技术部门工作,在软件开发、运维支持、质量管理方面具有深入的理解,特别是在网络安全领域深耕多年,对网络安全相关架构、规划、流程以及技术体系有独到的见解和丰富的实践经验。
【媒体评论】
肖 璟 九江银行行长
金融机构信息科技风险管理关乎国家金融行业的稳定和发展,一直是金融机构管理人员特别重视的话题。本书对金融信息科技风险进行全面的阐释,值得一读!
徐 徽 广发银行数据中心总经理
科技在影响客户行为和商业模式、引领金融业务高歌猛进的同时,也改变着金融风险的类型、模式和影响。对于如何守正创新,驾驭科技的风险,让合规创造价值,本书从理论和实践两个维度给出了系统性阐述,从业者、即将从业者、关心者,都可从中找到参考和建议。
贾俊刚 招商银行信息技术部副总经理
随着信息技术的迅猛发展,金融科技对于金融行业的发展已经产生了不可估量的作用。与此同时,金融机构信息科技风险管理也成为伴随金融科技迅猛发展而必须重点关注的环节。本书作者均是从事金融信息科技行业多年的老兵,具备大型商业银行、股份制银行、城商行的实践经验。本书为我们提供了非常实用、非常有价值的理论总结和技术参考,相信对于广大读者来说将会大有裨益。
宋 歌 平安银行金融科技部总经理助理
作为已经在金融科技行业从业多年的一员,金融机构信息科技风险管理一直是我关注的话题。对于如何切实做好金融科技风险管理,本书从合规管理、技术防控和数字化等方面做了非常细致的论述,是一本有着较大参考价值的工具书,在此推荐给广大金融科技战线的读者,希望大家读有所思、读有所得。
目录
序前言第一部分 合规管理第1章 新时代金融机构信息科技 风险概述21.1 新时代金融机构信息科技风险态势21.1.1 金融机构信息科技风险的概念31.1.2 金融机构信息科技风险监管 发展历程41.1.3 国际金融机构信息科技风险 管理现状与趋势61.1.4 国内金融机构信息科技风险 管理现状与特点81.2 金融机构信息科技风险管理整体 架构91.2.1 八大领域的监管合规91.2.2 监管合规的技术辅助131.3 本章小结15第2章 信息科技治理162.1 董事会履职162.1.1 董事会的职责162.1.2 董事会信息科技管理相关 职责182.2 高管层履职192.2.1 监管对高级管理层的要求192.2.2 高级管理层的职责202.2.3 信息科技管理委员会和首席 信息官212.3 组织架构设计212.3.1 信息科技风险防范的三道防线 机制212.3.2 三道防线协同机制222.3.3 其他业务部门232.4 信息科技战略规划232.4.1 信息科技规划方案的制定242.4.2 信息科技规划的实施方案262.4.3 信息科技架构的开发与管理272.4.4 信息科技架构的具体设计302.5 科技预算控制322.5.1 科技预算的组成及编制方法322.5.2 预算执行及效益分析评价342.5.3 科技预算闭环管理机制362.6 本章小结37第3章 信息科技风险管理383.1 风险管理体系383.1.1 工作职责383.1.2 组织架构和汇报路线393.1.3 科技风险与全面风险的关系393.2 工作机制393.2.1 风险管理策略和制度403.2.2 风险评估领域和方法论413.2.3 常见风险评估项目423.2.4 风险监测443.2.5 突击检查463.2.6 日常突发事件管理463.2.7 非现场监管报表报送483.2.8 整改追踪和效果回顾483.3 本章小结49第4章 信息科技审计管理504.1 审计管理体系504.1.1 工作职责504.1.2 组织架构和汇报路线514.2 工作机制514.2.1 审计制度514.2.2 内外审计领域和方法论514.2.3 常见的审计方法和审计项目524.2.4 整改追踪和效果回顾544.3 本章小结54第5章 信息安全管理555.1 信息安全管理体系555.1.1 组织架构555.1.2 制度体系575.1.3 ISO27001信息安全管理体系595.2 信息安全事件管理615.2.1 信息安全事件分类615.2.2 信息安全事件管理组织架构625.2.3 信息安全事件识别625.2.4 信息安全事件报告635.2.5 信息安全事件处置635.2.6 信息安全事件复盘635.3 信息安全意识管理645.3.1 信息安全意识培训体系设计645.3.2 信息安全意识培训实施645.4 本章小结66第6章 开发与测试风险管理676.1 开发风险管理体系676.1.1 开发风险管理体系框架676.1.2 组织架构696.2 项目周期中的开发风险管理706.2.1 启动阶段风险管理716.2.2 需求分析阶段风险管理726.2.3 系统设计阶段风险管理736.2.4 编程阶段风险管理736.2.5 测试阶段风险管理746.2.6 投产阶段风险管理746.3 开发质量保障746.3.1 软件能力成熟度集成模型756.3.2 单项目管理与项目群管理766.3.3 应用成熟度管理806.4 测试管理856.4.1 测试成熟度模型集成856.4.2 测试管理组织架构866.4.3 测试管理体系886.5 业务部门参与风险管理896.5.1 需求阶段896.5.2 测试阶段906.5.3 验收结算906.5.4 项目后评价阶段906.6 本章小结91第7章 运维管理927.1 运维管理体系927.1.1 运维服务体系927.1.2 运维组织架构957.1.3 运维流程管理977.2 日常运维管理1007.2.1 机房基础设施运维1007.2.2 网络运维1017.2.3 服务器和存储运维1027.2.4 基础软件运维1027.2.5 应用运维1037.3 运维指标体系1047.3.1 指标体系设计原则1047.3.2 指标体系设计结果1057.3.3 指标体系监测和运行机制1087.4 本章小结110第8章 业务连续性管理1118.1 业务连续性管理体系1118.1.1 业务连续性整体框架1118.1.2 组织架构1128.2 业务连续性管理与执行1138.2.1 业务连续性管理1138.2.2 应急处置1158.2.3 灾难恢复1168.3 业务连续性演练与管理评估1168.3.1 业务连续性演练1178.3.2 业务连续性管理评估1178.4 本章小结118第9章 外包管理1199.1 外包管理体系1199.1.1 外包战略1199.1.2 外包管理组织架构1219.1.3 外包管理制度体系1229.2 外包商管理机制1239.2.1 外包商准入1239.2.2 外包商退出1249.2.3 外包商持续监测和风险评估1249.3 日常外包管理1259.3.1 外包人员日常管理机制1269.3.2 外包人员信息安全管理1269.3.3 外包人员考评管理1279.4 降低外包依赖度1289.4.1 外包依赖风险分析1289.4.2 降低外包依赖的措施1299.4.3 效果衡量1309.5 本章小结130第二部分 技术防控第10章 信息科技治理数字化转型13210.1 全生命周期工具化、线上化13210.1.1 信息科技管理工具的整体 架构13310.1.2 信息科技管理工具的协同 关系13510.2 项目管理工具13810.2.1 业务架构13910.2.2 技术架构14110.2.3 功能实现14310.2.4 预期效果14410.3 架构管理工具14510.3.1 业务架构14510.3.2 技术架构14810.3.3 功能实现14910.3.4 预期效果15110.4 本章小结152第11章 风险管理技术化15311.1 日常监测工具化15311.1.1 信息科技风险监测体系及 监测系统15311.1.2 信息科技关键风险指标的 自动化监测15511.2 监管数据报送自动化15611.2.1 源数据质量治理15711.2.2 监管数据自动采集16111.2.3 监管数据自动校验16311.2.4 监管数据自动报送16411.3 本章小结165第12章 审计管理16612.1 现场审计系统16612.1.1 业务架构16712.1.2 技术架构16812.1.3 功能实现17012.1.4 预期效果17112.2 非现场审计系统17212.2.1 业务架构17212.2.2 技术架构17312.2.3 功能实现17412.2.4 预期效果17512.3 信息系统审计工具17512.4 审计系统中金融科技的应用17712.4.1 金融科技背景下内部审计 面临的挑战17712.4.2 大数据智慧审计系统的技术 应用架构17712.4.3 金融科技在审计系统中的 应用17912.4.4 预期效果18012.5 本章小结181第13章 安全技术架构18213.1 安全技术架构的组成18213.1.1 机房安全18213.1.2 网络安全18413.1.3 系统安全18913.1.4 应用安全19213.1.5 终端安全19413.1.6 数据安全19613.2 安全评估和安全态势感知19813.2.1 渗透测试19813.2.2 网络安全态势感知技术架构20113.2.3 安全态势感知实施效果20513.3 安全运营20613.3.1 组织架构20613.3.2 安全运营体系20713.3.3 安全运营实施效果的评价和 持续改进21013.4 本章小结211第14章 开发与测试管理21214.1 开发管理工具的体系建设21214.1.1 数据管理—数据管控平台21414.1.2 接口管理—服务治理21714.1.3 配置管理—持续集成与 持续发布21914.2 测试管理工具的体系建设22214.2.1 测试技术体系22214.2.2 测试管理平台22314.2.3 自动化测试22514.2.4 性能测试22914.3 账务差错风险规避与解决23114.3.1 产生账务差错风险的两大 原因23214.3.2 账务差错风险的规避手段23314.3.3 账务自动轧账的设计23314.4 联机批量冲突风险的应对方案23814.4.1 联机批量冲突风险的分析 归类23814.4.2 数据处理冲突风险的解决 方案23914.4.3 资源使用冲突风险的解决  
以下为对购买帮助不大的评价