我要預(yù)訂

咨詢電話：027-5111 9925 , 027-5111 9926手機(jī)：18971071887郵箱：Service@mingketang.com

課程背景

國家金融監(jiān)督管理總局（中國銀行業(yè)監(jiān)督管理委員會）指出，信息科技風(fēng)險是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險，在銀行的全部風(fēng)險中，信息科技風(fēng)險幾乎是唯一可能使銀行業(yè)務(wù)在瞬間全部癱瘓的重要風(fēng)險，銀行業(yè)信息系統(tǒng)安全、穩(wěn)健運行，關(guān)系銀行業(yè)自身可持續(xù)發(fā)展，關(guān)系金融安全。金融監(jiān)管總局不斷細(xì)化深入信息科技風(fēng)險監(jiān)管工作，信息科技風(fēng)險管理審計作為商業(yè)銀行重要的信息科技風(fēng)險管理手段，應(yīng)當(dāng)在信息科技專項審計、全面審計、重要項目審計中發(fā)揮重要作用。

商業(yè)銀行信息科技風(fēng)險管理從業(yè)務(wù)需求、合規(guī)性需求、信息科技風(fēng)險管理需求出發(fā)，遵從風(fēng)險管理的理念，在風(fēng)險管理戰(zhàn)略規(guī)劃的基礎(chǔ)上，全面指導(dǎo)商業(yè)銀行信息科技風(fēng)險管控工作。隨著金融監(jiān)管總局、人民銀行和國家有關(guān)部門要求的提高，如何保障商業(yè)銀行業(yè)務(wù)持續(xù)運營、保障業(yè)務(wù)數(shù)據(jù)信息安全，解決商業(yè)銀行科技工作深入后帶來的一系列問題，本課程以金融監(jiān)管總局和中國人民銀行發(fā)布的監(jiān)管要求和金融標(biāo)準(zhǔn)為起點，通過介紹監(jiān)管要點、行業(yè)良好實踐，同時，輔以案例分析，為商業(yè)銀行如何保障業(yè)務(wù)持續(xù)運營、保護(hù)業(yè)務(wù)數(shù)據(jù)信息提供良好建議。

培訓(xùn)人員建議

信息科技風(fēng)險管理相關(guān)人員，包括:

董事會和高級管理層分管信息科技風(fēng)險管理的高級管理人員

信息科技風(fēng)險管理三道防線（信息科技部信息安全管理、風(fēng)險管理部信息科技風(fēng)險管理、內(nèi)部審計部信息科技風(fēng)險審計）的管理人員和業(yè)務(wù)骨干

培訓(xùn)目的和收益

通過培訓(xùn)和交流，培訓(xùn)對象收獲：

理解銀行業(yè)金融機(jī)構(gòu)建立信息科技風(fēng)險管理體系的監(jiān)管要求，監(jiān)管機(jī)構(gòu)要求相關(guān)管理層承擔(dān)的責(zé)任；

理解推動信息科技風(fēng)險管理和審計工作可以真正消除決策層（董事會和高級管理層）、信息科技管理部門、風(fēng)險管理部門和內(nèi)部審計部門間溝通的障礙，真正找準(zhǔn)各自的定位關(guān)系，促進(jìn)信息科技風(fēng)險審計和信息科技風(fēng)險管理融合，支持銀行業(yè)務(wù)創(chuàng)新；

理解信息科技風(fēng)險管理框架、商業(yè)銀行信息科技風(fēng)險審計標(biāo)準(zhǔn)、依據(jù)和依據(jù)參考、商業(yè)銀行信息科技風(fēng)險審計最佳實踐。

培訓(xùn)方式

知識講解、案例分析、互動研討。

課程大綱

第一天 商業(yè)銀行信息科技風(fēng)險和審計標(biāo)準(zhǔn)

模塊一 商業(yè)銀行信息科技風(fēng)險形勢

1.商業(yè)銀行信息科技風(fēng)險定義、分類和特點

定義

分類

特點

2.商業(yè)銀行信息科技風(fēng)險事件形勢、最新監(jiān)管要求和案例分析

商業(yè)銀行信息科技風(fēng)險事件形勢

商業(yè)銀行信息科技風(fēng)險事件典型案例分析

商業(yè)銀行信息科技監(jiān)管要求

中國人民銀行

金融監(jiān)管總局（銀保監(jiān)會、銀監(jiān)會）

模塊二 商業(yè)銀行信息科技風(fēng)險審計標(biāo)準(zhǔn)、依據(jù)和參考

1.審計標(biāo)準(zhǔn)

國家標(biāo)準(zhǔn)

國家審計署審計準(zhǔn)則

中國內(nèi)部審計協(xié)會審計準(zhǔn)則

國家標(biāo)準(zhǔn)：《信息技術(shù)服務(wù) 治理 第4部分 審計導(dǎo)則》等

團(tuán)體標(biāo)準(zhǔn)：《信息技術(shù)服務(wù) 治理 IT風(fēng)險治理》、《信息技術(shù)服務(wù) 治理 數(shù)據(jù)審計》、《金融科技審計 基本原則》等

企業(yè)標(biāo)準(zhǔn)：中國人民銀行信息技術(shù)審計規(guī)范（QPBC 00001.1--4—2014）

國際標(biāo)準(zhǔn)和良好實踐

ISACA信息系統(tǒng)審計和鑒證標(biāo)準(zhǔn)、指南和工具

信息技術(shù)鑒證框架（ITAF）

2.審計依據(jù)

國家法律、行政法規(guī)、部門規(guī)章和政策

網(wǎng)絡(luò)安全法、密碼法、電子簽名法、數(shù)據(jù)安全法、個人信息保護(hù)法

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例、網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）

中辦、國辦

中央網(wǎng)信辦、公安部、國家保密局、國家密碼管理局、財政部、審計署、國資委、工信部

3.審計依據(jù)參考

國家標(biāo)準(zhǔn)

GB/T系列

行業(yè)標(biāo)準(zhǔn)（金融）

國際標(biāo)準(zhǔn)

COBIT 2019/5.0

ISO（9000,20000,27000,22301）系列

CMMI、DRI、BCI、DAMA等

第二天 商業(yè)銀行信息科技風(fēng)險管理框架和審計

模塊三 商業(yè)銀行信息科技風(fēng)險管理框架

1.風(fēng)險管理目標(biāo)

風(fēng)險戰(zhàn)略

風(fēng)險偏好

風(fēng)險容忍度

2.風(fēng)險管理流程

風(fēng)險領(lǐng)域

風(fēng)險管理工具

風(fēng)險控制自評估（RCSA）

關(guān)鍵風(fēng)險指標(biāo)（KRI）

信息科技風(fēng)險事件

風(fēng)險管理流程

風(fēng)險識別和評估

風(fēng)險應(yīng)對和控制

風(fēng)險評價和計量

風(fēng)險監(jiān)測和報告

3.風(fēng)險管理機(jī)制

組織架構(gòu)

三道防線

管理制度和流程

風(fēng)險文化

績效考核

意識教育和培訓(xùn)

風(fēng)險信息溝通和報告

審計監(jiān)督

模塊四 商業(yè)銀行信息風(fēng)險審計流程、方法和技術(shù)

一．商業(yè)銀行信息科技風(fēng)險審計流程

1.審計準(zhǔn)備階段

審計目的和審計任務(wù)

審計依據(jù)

審計項目組

收集相關(guān)信息

審計規(guī)劃

審計風(fēng)險

2.審計實施階段

進(jìn)場會

現(xiàn)場工作

IT控制評估

3.審計終結(jié)階段

工作底稿整理和復(fù)核

審計發(fā)現(xiàn)

溝通審計結(jié)果

審計報告

審計文檔歸檔

4.審計后續(xù)（跟蹤）審計

5.審計質(zhì)量管理和評估

二．商業(yè)銀行信息科技風(fēng)險審計方法和技術(shù)

1.審計方法

訪談

核查

測試

評估

2.審計技術(shù)

檢查技術(shù)

識別和分析技術(shù)

漏洞驗證技術(shù)

第三天 商業(yè)銀行信息科技風(fēng)險審計實踐

模塊五 商業(yè)銀行信息科技風(fēng)險審計項目案例研討

1.信息科技風(fēng)險管理審計項目（金融監(jiān)管總局）

2.重要信息系統(tǒng)投產(chǎn)及變更審計項目（金融監(jiān)管總局）

3.數(shù)據(jù)中心審計項目（金融監(jiān)管總局）

4.業(yè)務(wù)連續(xù)性管理審計項目（金融監(jiān)管總局）

5.信息科技外包風(fēng)險管理審計項目（金融監(jiān)管總局）

6.其它IT專項審計（網(wǎng)絡(luò)（信息）安全審計）項目

網(wǎng)絡(luò)安全等級保護(hù)/關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)審計

ISO/IEC 27001信息安全管理體系審計

ISO 22301業(yè)務(wù)連續(xù)性管理體系審計

7.A+H上市公司IT內(nèi)控審計項目

模塊六 商業(yè)銀行信息科技風(fēng)險審計項目展望

1.個人金融信息保護(hù)審計項目（人民銀行、金融監(jiān)管總局）

2.金融科技應(yīng)用風(fēng)險審計項目（人民銀行）

3.數(shù)據(jù)治理審計（金融監(jiān)管總局）

4.數(shù)據(jù)安全治理和管理審計（人民銀行、金融監(jiān)管總局）

5.自主定義審計項目

6.商業(yè)銀行信息科技風(fēng)險審計重點、難點和痛點

馬老師

馬慶

常駐地：北京

專業(yè)認(rèn)證

1.注冊信息系統(tǒng)審計師（CISA，Certified Information System Auditor），2002年，ISACA

2.注冊內(nèi)部審計師（CIA，Certified Internal Auditor），2003年，IIA

3.注冊控制自我評估師（CCSA, Certification in Control Self-Assessment），2003年，IIA

4.特許金融分析師（CFA，Chartered Financial Analyst)二級考試，2005年，CFA Institute

5.注冊業(yè)務(wù)持續(xù)性專家（CBCP，Certified Business Continuity Professional），2011年，DRII

6.網(wǎng)絡(luò)安全認(rèn)證（Security+），2011年，CompTIA

7.ISO22301業(yè)務(wù)連續(xù)性管理體系主任執(zhí)行師（ISO 22301 BCMS Lead Implementer），2013年，PECB

8.ISO27001信息安全管理體系主任審計師（ISO/IEC 27001 ISMS Lead Auditor），2013年，PECB

講師資質(zhì)

1.國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT網(wǎng)絡(luò)安全能力認(rèn)證培訓(xùn)講師

2.中國信息安全測評中心CISP信息安全培訓(xùn)講師-注冊信息安全培訓(xùn)講師CISI。

3.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心信息系統(tǒng)審計師ISA 課程設(shè)計師，培訓(xùn)講師。

4.中國通信企業(yè)協(xié)會網(wǎng)絡(luò)安全人員能力認(rèn)證講師。

5.中國銀行業(yè)協(xié)會東方銀行業(yè)高級管理人員研修院商業(yè)銀行業(yè)務(wù)連續(xù)性管理專家講師。

6.中國計算機(jī)用戶協(xié)會信息科技審計分會業(yè)務(wù)連續(xù)性管理、信息科技外包風(fēng)險管理、信息科技審計等專家?guī)鞂＜?，專家講師。

7.中治研（北京）國際信息技術(shù)研究院高級研究員，中治智庫專家?guī)鞂＜?，專家講師，《中國IT治理.價值叢書》編委會委員。

8.云安全聯(lián)盟CSA云安全授權(quán)講師，課程包括：CCSMP（國際注冊云安全管理認(rèn)證專家）、CCSSP（國際注冊云安全系統(tǒng)認(rèn)證專家）。

9.國際災(zāi)難恢復(fù)（中國）協(xié)會（DRI China）技術(shù)委員會（DRICTC）委員（2011--2014），專業(yè)講師資質(zhì)認(rèn)證（TCBC），課程包括：注冊業(yè)務(wù)持續(xù)性專家（CBCP）。

10.職業(yè)評價和認(rèn)證委員會Professional Evaluation and Certification Board（PECB）專業(yè)講師資質(zhì)認(rèn)證（PECB CERTIFIED TRAINER），課程包括：ISO 27001 Foundation，ISO/IEC 27001LA和ISO/IEC 27001LI；ISO 22301 Foundation，ISO 22301 LA和ISO 22301 LI。

11.美國培訓(xùn)認(rèn)證協(xié)會（AACTP）國際認(rèn)證培訓(xùn)師（ICT，International Certificated Trainer）。

12.中國電子勞動學(xué)會數(shù)字素養(yǎng)與技能提升人才培養(yǎng)工程智庫專家

13.中國電力企業(yè)聯(lián)合會科技開發(fā)服務(wù)中心/中國電力技術(shù)市場協(xié)會專家?guī)鞂＜摇?/p>

14.中國通信工業(yè)協(xié)會信息安全分會專家?guī)鞂＜摇?/p>

15.中國國際航空公司信息管理部專家?guī)鞂＜摇?/p>

行業(yè)經(jīng)驗

馬慶在信息系統(tǒng)審計、信息科技風(fēng)險管理、業(yè)務(wù)連續(xù)性管理和網(wǎng)絡(luò)信息安全管理領(lǐng)域擁有34年的實施、咨詢經(jīng)驗，在技術(shù)管理方面具有豐富知識和經(jīng)驗，通曉電信運營商、金融行業(yè)信息系統(tǒng)軟件、硬件、開發(fā)、運營、維護(hù)、管理和安全，熟悉業(yè)務(wù)運營管理的核心，能夠利用信息系統(tǒng)審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計、檢查、評價和改造。

專業(yè)著作

在國家會計學(xué)院《中國會計視野》，《中國計算機(jī)用戶》，《計算機(jī)產(chǎn)品與流通》等發(fā)表多篇信息系統(tǒng)審計實踐文章；在《計算機(jī)世界》，《中國計算機(jī)報》，《互聯(lián)網(wǎng)周刊》，《每周電腦報》，《信息安全》等發(fā)表多篇信息系統(tǒng)安全，商務(wù)智能文章，中國最早最大的信息系統(tǒng)審計論壇（www.itpub.net的“信息安全與審計”）的資深斑竹“cisamaqing”。

馬慶同時是一位專業(yè)講師，為電信、金融、政府和公用事業(yè)、企業(yè)以及行業(yè)協(xié)會等提供下列領(lǐng)域培訓(xùn)服務(wù)：

1. 信息化規(guī)劃、績效評價、運營管理；

2. 內(nèi)部控制，內(nèi)部審計，風(fēng)險評估和風(fēng)險管理，控制/風(fēng)險自我評估（CSA），COSO，Sarbanes & Oxley Act；

3. 信息系統(tǒng)審計和控制，CISA認(rèn)證，CISM認(rèn)證，CRISC認(rèn)證，CGEIT認(rèn)證，COBIT 5/COBIT2019認(rèn)證；

4. 金融行業(yè)、電信運營商、企業(yè)級網(wǎng)絡(luò)性能管理，信息安全管理，網(wǎng)絡(luò)安全等級保護(hù)/關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，CISP認(rèn)證，CISSP認(rèn)證，CCSP認(rèn)證，云安全CSA認(rèn)證，ISO27001LA認(rèn)證；

5. 業(yè)務(wù)連續(xù)性（BCP） ，災(zāi)難恢復(fù)（DRP），CBCP認(rèn)證，ISO 22301 Foundation，ISO22031LA和ISO22301LI認(rèn)證。

我要預(yù)訂

咨詢電話：027-5111 9925 , 027-5111 9926手機(jī)：18971071887郵箱：Service@mingketang.com