商业银行信息系统研发风险管控pdf/txt下载_在线阅读全文

编辑推荐

这套《银行业信息化丛书》致力于挖掘、研究、总结、提炼和传播国内外信息化**实践、宝贵经验和**成果，内容涵盖银行业信息科技治理与管理、信息系统开发与应用创新、信息安全、基础设施与运行维护、信息科技监管等主要领域，将为银行业信息科技人才培养提供一些基础性、前瞻性、实用性的知识和信息。

内容简介

本书通过对商业银行信息系统研发风险的定义、成因、分类和问题的分析研究，提出了商业银行开展信息系统研发风险管控的理论依据、实践方法和实践过程。全书分为基础篇、管理篇和技术篇。基础篇主要阐述商业银行信息系统研发风险的概念、法规、政策与相关标准；管理篇主要阐述商业银行信息系统研发风险管控模型、管控体系、管控方法、实践案例等内容；技术篇主要介绍信息系统安全开发的策略、方法和相关技术。

作者简介

作者为中国农业银行股份有限公司研究信息系统研发风险管控的技术专家。

目　　录

总序
序
前言
基础篇
第1章商业银行信息系统研发风险管控基础知识2
1.1信息系统研发风险管控概述2
1.1.1信息系统和信息系统研发2
1.1.2信息系统研发风险6
1.1.3信息系统研发风险与其他相关领域的关系7
1.1.4信息系统研发风险管控13
1.2商业银行信息系统研发风险管控概述15
1.2.1商业银行的主要业务和信息系统15
1.2.2商业银行信息系统研发风险22
1.2.3商业银行研发风险在全面风险管理体系中的位置23

总序 
序 
前言 
基础篇 
第1章商业银行信息系统研发风险管控基础知识2 
1.1信息系统研发风险管控概述2 
1.1.1信息系统和信息系统研发2 
1.1.2信息系统研发风险6 
1.1.3信息系统研发风险与其他相关领域的关系7 
1.1.4信息系统研发风险管控13 
1.2商业银行信息系统研发风险管控概述15 
1.2.1商业银行的主要业务和信息系统15 
1.2.2商业银行信息系统研发风险22 
1.2.3商业银行研发风险在全面风险管理体系中的位置23 
1.2.4商业银行研发风险管控策略30 
第2章商业银行研发风险管控相关法规、政策与标准34 
2.1信息安全相关法律法规34 
2.1.1世界各国信息安全立法的发展34 
2.1.2我国信息安全法律法规体系36 
2.1.3我国主要法律法规简介39 
2.2商业银行研发风险管控相关政策和指引42 
2.2.1商业银行研发风险监管现状概述42 
2.2.2主要监管政策和指引45 
2.3商业银行研发风险管控相关信息安全标准49 
2.3.1信息安全标准的基本概念49 
2.3.2信息安全标准化概述51 
2.3.3主要信息安全标准介绍54 
管理篇 
第3章商业银行研发风险管控理论和模型63 
3.1研发风险管控相关理论和模型63 
3.1.1安全开发生命周期63 
3.1.2软件安全接触点65 
3.1.3综合轻量级应用安全过程67 
3.1.4软件保证成熟度69 
3.1.5软件安全框架70 
3.1.6BSI成熟模型71 
3.1.7信息安全保障72 
3.2商业银行研发风险管控模型74 
3.2.1商业银行研发风险管控模型的设计74 
3.2.2商业银行研发风险管控模型的内容76 
3.2.3商业银行研发风险管控模型的特点77 
第4章商业银行研发风险管控体系78 
4.1商业银行研发风险管控体系建设78 
4.1.1商业银行研发风险管控体系建设思路78 
4.1.2商业银行研发风险管控体系总体架构79 
4.1.3商业银行研发风险管控体系运行机制80 
4.2商业银行研发风险管控组织体系81 
4.2.1商业银行研发风险管控组织体系概述81 
4.2.2商业银行研发风险管控组织体系建设82 
4.3商业银行研发风险管控制度体系84 
4.3.1商业银行研发风险管控制度体系概述84 
4.3.2商业银行研发风险管控制度体系建设85 
4.4商业银行研发风险管控标准体系86 
4.4.1安全定级指南87 
4.4.2安全需求指南90 
4.4.3安全设计指南93 
4.4.4安全编码规范95 
4.5安全技术支持服务体系98 
第5章商业银行研发风险管控工作流程102 
5.1立项阶段研发风险管控工作流程104 
5.2计划阶段研发风险管控工作流程104 
5.2.1安全团队建设105 
5.2.2安全培训105 
5.2.3安全管理计划制订106 
5.3需求阶段研发风险管控工作流程106 
5.3.1安全需求制定107 
5.3.2安全需求评审107 
5.4设计阶段研发风险管控工作流程107 
5.4.1安全设计108 
5.4.2安全设计评审108 
5.5编码阶段研发风险管控工作流程109 
5.5.1源代码安全审核109 
5.5.2安全需求实现审核109 
5.6测试阶段研发风险管控工作流程110 
5.6.1安全测试111 
5.6.2渗透测试111 
5.7投产运维阶段研发风险管控工作流程112 
第6章商业银行研发风险管控工作方法113 
6.1安全培训113 
6.1.1安全培训概述113 
6.1.2安全培训体系114 
6.1.3安全培训的实施116 
6.2安全评审116 
6.2.1安全评审概述116 
6.2.2安全评审的内容117 
6.2.3安全评审的方法118 
6.3风险评估118 
6.3.1风险评估的概念118 
6.3.2风险评估的方法120 
6.3.3风险评估的工具124 
6.3.4风险评估的实施124 
6.4安全后评价127 
6.4.1安全后评价概述127 
6.4.2安全后评价的要素127 
6.4.3安全后评价的实施128 
第7章商业银行研发外包风险管控131 
7.1商业银行研发外包风险概述131 
7.1.1IT外包的基本概念131 
7.1.2商业银行IT外包风险概述133 
7.1.3商业银行研发外包风险135 
7.2商业银行研发外包风险管控措施135 
7.2.1商业银行研发外包风险管控相关监管要求135 
7.2.2商业银行研发外包风险管控工作方法136 
第8章商业银行研发风险管控案例140 
8.1商业银行研发风险管控项目案例140 
8.1.1项目背景140 
8.1.2项目研发风险管控工作实施情况141 
8.2商业银行研发外包风险管控项目案例145 
8.2.1项目背景145 
8.2.2项目研发外包风险管控工作实施情况146 
技术篇 
第9章信息系统安全研发策略和方法150 
9.1安全研发策略和原则150 
9.1.1安全研发策略150 
9.1.2安全设计原则151 
9.2威胁建模154 
9.2.1威胁建模的定义154 
9.2.2威胁建模的对象154 
9.2.3威胁建模的过程155 
9.3攻击面最小化分析157 
9.3.1攻击面最小化分析的概念157 
9.3.2攻击面最小化分析过程158 
9.4安全架构和组件159 
9.4.1安全架构159 
9.4.2安全组件160 
9.5源代码安全审核163 
9.5.1源代码安全审核的概念163 
9.5.2源代码安全审核原理163 
9.5.3源代码安全审核工具164 
9.6渗透测试165 
9.6.1渗透测试的概念165 
9.6.2渗透测试步骤与方法166 
第10章信息系统安全研发技术168 
10.1身份认证169 
10.1.1身份认证的基本概念169 
10.1.2身份认证模式的分类169 
10.1.3身份认证技术171 
10.2访问控制174 
10.2.1访问控制概述174 
10.2.2访问控制策略175 
10.2.3访问控制模型176 
10.3安全审计179 
10.3.1安全审计概述179 
10.3.2安全审计的内容180 
10.3.3安全审计的实施180 
10.4密码技术181 
10.4.1密码技术概述181 
10.4.2加密算法概述184 
10.4.3密码技术应用185 
10.5网络安全188 
10.5.1网络安全基础188 
10.5.2网络安全协议191 
10.5.3常见网络安全威胁194 
10.5.4常见网络安全技术198 
10.6漏洞防护207 
10.6.1安全漏洞的概念208 
10.6.2安全漏洞的分类和分级209 
10.6.3常见安全漏洞及防护210 
10.7操作系统安全220 
10.7.1操作系统概述220 
10.7.2操作系统安全概述222 
10.7.3操作系统安全的实现223 
10.8数据库系统安全225 
10.8.1数据库系统概述225 
10.8.2数据库系统安全概述228 
10.8.3数据库系统安全的实现230 
10.9数据安全234 
10.9.1数据安全的概念234 
10.9.2数据安全保护措施236 
10.10其他安全技术238 
10.10.1互联网金融安全238 
10.10.2大数据安全242 
10.10.3云计算安全246 
10.10.4物联网安全251 
参考文献257

显示全部信息

前　　言

前言随着信息科技与商业银行业务的深度融合，商业银行业务对信息系统的依赖性日益增强，银行信息化的快速发展，对信息科技风险管理提出了更高的要求。如何防范信息科技风险，已成为商业银行必须认真面对的一个重要课题。其中研发风险管理是信息科技风险管理的一个重要领域。
本书旨在指导商业银行开展信息系统研发风险管控工作，防范信息系统研发过程中的安全需求风险、安全设计风险、系统安全漏洞、合规风险、外包风险等各类研发风险，提高商业银行信息系统的安全可靠性，以增强银行的核心竞争力和可持续发展能力。本书采取理论模型指导实践的思路，从组织、制度、标准、技术等方面入手，提出了开展研发风险管控的管理依据、理论模型、管理策略、管理方法、技术手段和实践案例。为了提高本书的专业性和指导性，提高内容深度和质量，本书在全面讲解商业银行信息系统研发风险管控体系的基础上，积极跟踪行业发展趋势，扩展了研发风险管控体系理论解读、商业银行研发风险管控理论、研发风险管理实践指导、研发风险管控案例、研发风险管理技术研究、管理探索、新技术探索等相关内容，为读者提供了更广泛的借鉴。

前言随着信息科技与商业银行业务的深度融合，商业银行业务对信息系统的依赖性日益增强，银行信息化的快速发展，对信息科技风险管理提出了更高的要求。如何防范信息科技风险，已成为商业银行必须认真面对的一个重要课题。其中研发风险管理是信息科技风险管理的一个重要领域。 
 本书旨在指导商业银行开展信息系统研发风险管控工作，防范信息系统研发过程中的安全需求风险、安全设计风险、系统安全漏洞、合规风险、外包风险等各类研发风险，提高商业银行信息系统的安全可靠性，以增强银行的核心竞争力和可持续发展能力。本书采取理论模型指导实践的思路，从组织、制度、标准、技术等方面入手，提出了开展研发风险管控的管理依据、理论模型、管理策略、管理方法、技术手段和实践案例。为了提高本书的专业性和指导性，提高内容深度和质量，本书在全面讲解商业银行信息系统研发风险管控体系的基础上，积极跟踪行业发展趋势，扩展了研发风险管控体系理论解读、商业银行研发风险管控理论、研发风险管理实践指导、研发风险管控案例、研发风险管理技术研究、管理探索、新技术探索等相关内容，为读者提供了更广泛的借鉴。 
 本书注重理论与实践相结合，具有较强的现实意义，为商业银行深入开展研发风险管理提供全新的视角，适合我国商业银行软件风险管理团队、研发管理团队使用。本书分为基础篇、管理篇和技术篇，共计十章。基础篇介绍了商业银行研发风险的概念、法规、政策与相关标准；管理篇介绍了商业银行信息系统研发风险管控模型、研发风险管控体系、研发风险管控工作方法、研发外包风险管控等内容；技术篇介绍了信息系统安全开发策略方法和安全开发的相关技术。为了使读者能够更深入地理解研发风险管控体系，书中还收集了部分商业银行研发风险管控实际案例，以有效提供参考，使理论与实践能够有机结合。 
 　　本书由中国农业银行研发风险管控课题组共同编著。编著团队的主要成员有蔡钊、张方、陈典友、李阳、姜帆、王琰、曹玉磊、孙玮、薛建伟、姚元庆和毛南。范瑾辉、高松、李涵阳、王喜辉、罗志云、关磊和王衍锋等同志也参与了本书部分内容的编写。在本书编著过程中，得到了中国农业银行信息化建设技术专家委员会的大力支持与帮助。同时，衷心感谢中国农业银行王俊、张红喜、赵晓东、张冰等各相关领域技术专家对本书初稿的审阅和建议，衷心感谢中信银行申贵平、工商银行杨雷、华夏银行张志田三位银行业信息科技发展与风险管理专家对本书提出的评审意见；衷心感谢中国银监会银行业信息科技监管部的谢翀达主任、梁峰处长对本书的高度重视和深切关怀。此外，还要衷心感谢机械工业出版社的大力支持与帮助。 
 　　在编著过程中，编著团队查阅和参考了大量文献资料，限于篇幅，未能在书后的参考文献中全部列出，在此一并致谢。由于编著团队水平有限，书中难免存在谬误和不足之处，希望各位读者批评指正。 
 编著者

显示全部信息

在线试读部分章节

　　（6）商业银行内部控制指引2014年9月12日，银监会发布了修订后的《商业银行内部控制指引》。修订后的《商业银行内部控制指引》主要从内控评价、内控监督、监管约束、监管引领四个方面，来引导商业银行强化内控管理。
　　《商业银行内部控制指引》强调，内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。此外，规范了内部控制的治理和组织架构，明确了董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门等各主体关于内部控制的职责分工。
　　在信息科技方面，《商业银行内部控制指引》要求商业银行应当加强对信息的安全控制和保密管理，对各类信息实施分等级的安全管理，对信息系统访问实施权限管理，确保信息安全。
　　（7）电子银行安全评估指引2006年，银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》。指引所指的电子银行包括两部分：网上银行、电话银行和手机银行；其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务，包括自助银行、ATM机等。

商业银行信息系统研发风险管控下载

商业银行信息系统研发风险管控

发布书评

相关图书推荐