商業(yè)銀行信息系統(tǒng)研發(fā)風險管控
定 價:69.8 元
叢書名:銀行業(yè)信息化叢書
- 作者:蔡釗 等編著
- 出版時間:2016/1/1
- ISBN:9787111519492
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:F830.49
- 頁碼:260
- 紙張:膠版紙
- 版次:1
- 開本:16開
本書通過對商業(yè)銀行信息系統(tǒng)研發(fā)風險的定義、成因、分類和問題的分析研究,提出了商業(yè)銀行開展信息系統(tǒng)研發(fā)風險管控的理論依據(jù)、實踐方法和實踐過程。全書分為基礎篇、管理篇和技術篇;A篇主要闡述商業(yè)銀行信息系統(tǒng)研發(fā)風險的概念、法規(guī)、政策與相關標準;管理篇主要闡述商業(yè)銀行信息系統(tǒng)研發(fā)風險管控模型、管控體系、管控方法、實踐案例等內容;技術篇主要介紹信息系統(tǒng)安全開發(fā)的策略、方法和相關技術。
這套《銀行業(yè)信息化叢書》致力于挖掘、研究、總結、提煉和傳播國內外信息化**實踐、寶貴經驗和**成果,內容涵蓋銀行業(yè)信息科技治理與管理、信息系統(tǒng)開發(fā)與應用創(chuàng)新、信息安全、基礎設施與運行維護、信息科技監(jiān)管等主要領域,將為銀行業(yè)信息科技人才培養(yǎng)提供一些基礎性、前瞻性、實用性的知識和信息。
作者為中國農業(yè)銀行股份有限公司研究信息系統(tǒng)研發(fā)風險管控的技術專家。
總序
序
前言
基礎篇
第1章商業(yè)銀行信息系統(tǒng)研發(fā)風險管控基礎知識2
1.1信息系統(tǒng)研發(fā)風險管控概述2
1.1.1信息系統(tǒng)和信息系統(tǒng)研發(fā)2
1.1.2信息系統(tǒng)研發(fā)風險6
1.1.3信息系統(tǒng)研發(fā)風險與其他相關領域的關系7
1.1.4信息系統(tǒng)研發(fā)風險管控13
1.2商業(yè)銀行信息系統(tǒng)研發(fā)風險管控概述15
1.2.1商業(yè)銀行的主要業(yè)務和信息系統(tǒng)15
1.2.2商業(yè)銀行信息系統(tǒng)研發(fā)風險22
1.2.3商業(yè)銀行研發(fā)風險在全面風險管理體系中的位置23
1.2.4商業(yè)銀行研發(fā)風險管控策略30
第2章商業(yè)銀行研發(fā)風險管控相關法規(guī)、政策與標準34
2.1信息安全相關法律法規(guī)34
2.1.1世界各國信息安全立法的發(fā)展34
2.1.2我國信息安全法律法規(guī)體系36
2.1.3我國主要法律法規(guī)簡介39
2.2商業(yè)銀行研發(fā)風險管控相關政策和指引42
2.2.1商業(yè)銀行研發(fā)風險監(jiān)管現(xiàn)狀概述42
2.2.2主要監(jiān)管政策和指引45
2.3商業(yè)銀行研發(fā)風險管控相關信息安全標準49
2.3.1信息安全標準的基本概念49
2.3.2信息安全標準化概述51
2.3.3主要信息安全標準介紹54
管理篇
第3章商業(yè)銀行研發(fā)風險管控理論和模型63
3.1研發(fā)風險管控相關理論和模型63
3.1.1安全開發(fā)生命周期63
3.1.2軟件安全接觸點65
3.1.3綜合輕量級應用安全過程67
3.1.4軟件保證成熟度69
3.1.5軟件安全框架70
3.1.6BSI成熟模型71
3.1.7信息安全保障72
3.2商業(yè)銀行研發(fā)風險管控模型74
3.2.1商業(yè)銀行研發(fā)風險管控模型的設計74
3.2.2商業(yè)銀行研發(fā)風險管控模型的內容76
3.2.3商業(yè)銀行研發(fā)風險管控模型的特點77
第4章商業(yè)銀行研發(fā)風險管控體系78
4.1商業(yè)銀行研發(fā)風險管控體系建設78
4.1.1商業(yè)銀行研發(fā)風險管控體系建設思路78
4.1.2商業(yè)銀行研發(fā)風險管控體系總體架構79
4.1.3商業(yè)銀行研發(fā)風險管控體系運行機制80
4.2商業(yè)銀行研發(fā)風險管控組織體系81
4.2.1商業(yè)銀行研發(fā)風險管控組織體系概述81
4.2.2商業(yè)銀行研發(fā)風險管控組織體系建設82
4.3商業(yè)銀行研發(fā)風險管控制度體系84
4.3.1商業(yè)銀行研發(fā)風險管控制度體系概述84
4.3.2商業(yè)銀行研發(fā)風險管控制度體系建設85
4.4商業(yè)銀行研發(fā)風險管控標準體系86
4.4.1安全定級指南87
4.4.2安全需求指南90
4.4.3安全設計指南93
4.4.4安全編碼規(guī)范95
4.5安全技術支持服務體系98
第5章商業(yè)銀行研發(fā)風險管控工作流程102
5.1立項階段研發(fā)風險管控工作流程104
5.2計劃階段研發(fā)風險管控工作流程104
5.2.1安全團隊建設105
5.2.2安全培訓105
5.2.3安全管理計劃制訂106
5.3需求階段研發(fā)風險管控工作流程106
5.3.1安全需求制定107
5.3.2安全需求評審107
5.4設計階段研發(fā)風險管控工作流程107
5.4.1安全設計108
5.4.2安全設計評審108
5.5編碼階段研發(fā)風險管控工作流程109
5.5.1源代碼安全審核109
5.5.2安全需求實現(xiàn)審核109
5.6測試階段研發(fā)風險管控工作流程110
5.6.1安全測試111
5.6.2滲透測試111
5.7投產運維階段研發(fā)風險管控工作流程112
第6章商業(yè)銀行研發(fā)風險管控工作方法113
6.1安全培訓113
6.1.1安全培訓概述113
6.1.2安全培訓體系114
6.1.3安全培訓的實施116
6.2安全評審116
6.2.1安全評審概述116
6.2.2安全評審的內容117
6.2.3安全評審的方法118
6.3風險評估118
6.3.1風險評估的概念118
6.3.2風險評估的方法120
6.3.3風險評估的工具124
6.3.4風險評估的實施124
6.4安全后評價127
6.4.1安全后評價概述127
6.4.2安全后評價的要素127
6.4.3安全后評價的實施128
第7章商業(yè)銀行研發(fā)外包風險管控131
7.1商業(yè)銀行研發(fā)外包風險概述131
7.1.1IT外包的基本概念131
7.1.2商業(yè)銀行IT外包風險概述133
7.1.3商業(yè)銀行研發(fā)外包風險135
7.2商業(yè)銀行研發(fā)外包風險管控措施135
7.2.1商業(yè)銀行研發(fā)外包風險管控相關監(jiān)管要求135
7.2.2商業(yè)銀行研發(fā)外包風險管控工作方法136
第8章商業(yè)銀行研發(fā)風險管控案例140
8.1商業(yè)銀行研發(fā)風險管控項目案例140
8.1.1項目背景140
8.1.2項目研發(fā)風險管控工作實施情況141
8.2商業(yè)銀行研發(fā)外包風險管控項目案例145
8.2.1項目背景145
8.2.2項目研發(fā)外包風險管控工作實施情況146
技術篇
第9章信息系統(tǒng)安全研發(fā)策略和方法150
9.1安全研發(fā)策略和原則150
9.1.1安全研發(fā)策略150
9.1.2安全設計原則151
9.2威脅建模154
9.2.1威脅建模的定義154
9.2.2威脅建模的對象154
9.2.3威脅建模的過程155
9.3攻擊面最小化分析157
9.3.1攻擊面最小化分析的概念157
9.3.2攻擊面最小化分析過程158
9.4安全架構和組件159
9.4.1安全架構159
9.4.2安全組件160
9.5源代碼安全審核163
9.5.1源代碼安全審核的概念163
9.5.2源代碼安全審核原理163
9.5.3源代碼安全審核工具164
9.6滲透測試165
9.6.1滲透測試的概念165
9.6.2滲透測試步驟與方法166
第10章信息系統(tǒng)安全研發(fā)技術168
10.1身份認證169
10.1.1身份認證的基本概念169
10.1.2身份認證模式的分類169
10.1.3身份認證技術171
10.2訪問控制174
10.2.1訪問控制概述174
10.2.2訪問控制策略175
10.2.3訪問控制模型176
10.3安全審計179
10.3.1安全審計概述179
10.3.2安全審計的內容180
10.3.3安全審計的實施180
10.4密碼技術181
10.4.1密碼技術概述181
10.4.2加密算法概述184
10.4.3密碼技術應用185
10.5網絡安全188
10.5.1網絡安全基礎188
10.5.2網絡安全協(xié)議191
10.5.3常見網絡安全威脅194
10.5.4常見網絡安全技術198
10.6漏洞防護207
10.6.1安全漏洞的概念208
10.6.2安全漏洞的分類和分級209
10.6.3常見安全漏洞及防護210
10.7操作系統(tǒng)安全220
10.7.1操作系統(tǒng)概述220
10.7.2操作系統(tǒng)安全概述222
10.7.3操作系統(tǒng)安全的實現(xiàn)223
10.8數(shù)據(jù)庫系統(tǒng)安全225
10.8.1數(shù)據(jù)庫系統(tǒng)概述225
10.8.2數(shù)據(jù)庫系統(tǒng)安全概述228
10.8.3數(shù)據(jù)庫系統(tǒng)安全的實現(xiàn)230
10.9數(shù)據(jù)安全234
10.9.1數(shù)據(jù)安全的概念234
10.9.2數(shù)據(jù)安全保護措施236
10.10其他安全技術238
10.10.1互聯(lián)網金融安全238
10.10.2大數(shù)據(jù)安全242
10.10.3云計算安全246
10.10.4物聯(lián)網安全251
參考文獻257
。6)商業(yè)銀行內部控制指引2014年9月12日,銀監(jiān)會發(fā)布了修訂后的《商業(yè)銀行內部控制指引》。修訂后的《商業(yè)銀行內部控制指引》主要從內控評價、內控監(jiān)督、監(jiān)管約束、監(jiān)管引領四個方面,來引導商業(yè)銀行強化內控管理。
《商業(yè)銀行內部控制指引》強調,內部控制是商業(yè)銀行董事會、監(jiān)事會、高級管理層和全體員工參與的,通過制定和實施系統(tǒng)化的制度、流程和方法,實現(xiàn)控制目標的動態(tài)過程和機制。此外,規(guī)范了內部控制的治理和組織架構,明確了董事會、監(jiān)事會、高級管理層、內控管理職能部門、內部審計部門、業(yè)務部門等各主體關于內部控制的職責分工。
在信息科技方面,《商業(yè)銀行內部控制指引》要求商業(yè)銀行應當加強對信息的安全控制和保密管理,對各類信息實施分等級的安全管理,對信息系統(tǒng)訪問實施權限管理,確保信息安全。
。7)電子銀行安全評估指引2006年,銀監(jiān)會發(fā)布《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》。指引所指的電子銀行包括兩部分:網上銀行、電話銀行和手機銀行;其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業(yè)務,包括自助銀行、ATM機等。