商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控
定 價(jià):69.8 元
叢書(shū)名:銀行業(yè)信息化叢書(shū)
- 作者:蔡釗 等編著
- 出版時(shí)間:2016/1/1
- ISBN:9787111519492
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:F830.49
- 頁(yè)碼:260
- 紙張:膠版紙
- 版次:1
- 開(kāi)本:16開(kāi)
本書(shū)通過(guò)對(duì)商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)的定義、成因、分類和問(wèn)題的分析研究,提出了商業(yè)銀行開(kāi)展信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控的理論依據(jù)、實(shí)踐方法和實(shí)踐過(guò)程。全書(shū)分為基礎(chǔ)篇、管理篇和技術(shù)篇;A(chǔ)篇主要闡述商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)的概念、法規(guī)、政策與相關(guān)標(biāo)準(zhǔn);管理篇主要闡述商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控模型、管控體系、管控方法、實(shí)踐案例等內(nèi)容;技術(shù)篇主要介紹信息系統(tǒng)安全開(kāi)發(fā)的策略、方法和相關(guān)技術(shù)。
這套《銀行業(yè)信息化叢書(shū)》致力于挖掘、研究、總結(jié)、提煉和傳播國(guó)內(nèi)外信息化**實(shí)踐、寶貴經(jīng)驗(yàn)和**成果,內(nèi)容涵蓋銀行業(yè)信息科技治理與管理、信息系統(tǒng)開(kāi)發(fā)與應(yīng)用創(chuàng)新、信息安全、基礎(chǔ)設(shè)施與運(yùn)行維護(hù)、信息科技監(jiān)管等主要領(lǐng)域,將為銀行業(yè)信息科技人才培養(yǎng)提供一些基礎(chǔ)性、前瞻性、實(shí)用性的知識(shí)和信息。
作者為中國(guó)農(nóng)業(yè)銀行股份有限公司研究信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控的技術(shù)專家。
總序
序
前言
基礎(chǔ)篇
第1章商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控基礎(chǔ)知識(shí)2
1.1信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控概述2
1.1.1信息系統(tǒng)和信息系統(tǒng)研發(fā)2
1.1.2信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)6
1.1.3信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)與其他相關(guān)領(lǐng)域的關(guān)系7
1.1.4信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控13
1.2商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控概述15
1.2.1商業(yè)銀行的主要業(yè)務(wù)和信息系統(tǒng)15
1.2.2商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)22
1.2.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)在全面風(fēng)險(xiǎn)管理體系中的位置23
1.2.4商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控策略30
第2章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控相關(guān)法規(guī)、政策與標(biāo)準(zhǔn)34
2.1信息安全相關(guān)法律法規(guī)34
2.1.1世界各國(guó)信息安全立法的發(fā)展34
2.1.2我國(guó)信息安全法律法規(guī)體系36
2.1.3我國(guó)主要法律法規(guī)簡(jiǎn)介39
2.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控相關(guān)政策和指引42
2.2.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)監(jiān)管現(xiàn)狀概述42
2.2.2主要監(jiān)管政策和指引45
2.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控相關(guān)信息安全標(biāo)準(zhǔn)49
2.3.1信息安全標(biāo)準(zhǔn)的基本概念49
2.3.2信息安全標(biāo)準(zhǔn)化概述51
2.3.3主要信息安全標(biāo)準(zhǔn)介紹54
管理篇
第3章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控理論和模型63
3.1研發(fā)風(fēng)險(xiǎn)管控相關(guān)理論和模型63
3.1.1安全開(kāi)發(fā)生命周期63
3.1.2軟件安全接觸點(diǎn)65
3.1.3綜合輕量級(jí)應(yīng)用安全過(guò)程67
3.1.4軟件保證成熟度69
3.1.5軟件安全框架70
3.1.6BSI成熟模型71
3.1.7信息安全保障72
3.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型74
3.2.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型的設(shè)計(jì)74
3.2.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型的內(nèi)容76
3.2.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型的特點(diǎn)77
第4章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系78
4.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系建設(shè)78
4.1.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系建設(shè)思路78
4.1.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系總體架構(gòu)79
4.1.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系運(yùn)行機(jī)制80
4.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控組織體系81
4.2.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控組織體系概述81
4.2.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控組織體系建設(shè)82
4.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控制度體系84
4.3.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控制度體系概述84
4.3.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控制度體系建設(shè)85
4.4商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)體系86
4.4.1安全定級(jí)指南87
4.4.2安全需求指南90
4.4.3安全設(shè)計(jì)指南93
4.4.4安全編碼規(guī)范95
4.5安全技術(shù)支持服務(wù)體系98
第5章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控工作流程102
5.1立項(xiàng)階段研發(fā)風(fēng)險(xiǎn)管控工作流程104
5.2計(jì)劃階段研發(fā)風(fēng)險(xiǎn)管控工作流程104
5.2.1安全團(tuán)隊(duì)建設(shè)105
5.2.2安全培訓(xùn)105
5.2.3安全管理計(jì)劃制訂106
5.3需求階段研發(fā)風(fēng)險(xiǎn)管控工作流程106
5.3.1安全需求制定107
5.3.2安全需求評(píng)審107
5.4設(shè)計(jì)階段研發(fā)風(fēng)險(xiǎn)管控工作流程107
5.4.1安全設(shè)計(jì)108
5.4.2安全設(shè)計(jì)評(píng)審108
5.5編碼階段研發(fā)風(fēng)險(xiǎn)管控工作流程109
5.5.1源代碼安全審核109
5.5.2安全需求實(shí)現(xiàn)審核109
5.6測(cè)試階段研發(fā)風(fēng)險(xiǎn)管控工作流程110
5.6.1安全測(cè)試111
5.6.2滲透測(cè)試111
5.7投產(chǎn)運(yùn)維階段研發(fā)風(fēng)險(xiǎn)管控工作流程112
第6章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控工作方法113
6.1安全培訓(xùn)113
6.1.1安全培訓(xùn)概述113
6.1.2安全培訓(xùn)體系114
6.1.3安全培訓(xùn)的實(shí)施116
6.2安全評(píng)審116
6.2.1安全評(píng)審概述116
6.2.2安全評(píng)審的內(nèi)容117
6.2.3安全評(píng)審的方法118
6.3風(fēng)險(xiǎn)評(píng)估118
6.3.1風(fēng)險(xiǎn)評(píng)估的概念118
6.3.2風(fēng)險(xiǎn)評(píng)估的方法120
6.3.3風(fēng)險(xiǎn)評(píng)估的工具124
6.3.4風(fēng)險(xiǎn)評(píng)估的實(shí)施124
6.4安全后評(píng)價(jià)127
6.4.1安全后評(píng)價(jià)概述127
6.4.2安全后評(píng)價(jià)的要素127
6.4.3安全后評(píng)價(jià)的實(shí)施128
第7章商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控131
7.1商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)概述131
7.1.1IT外包的基本概念131
7.1.2商業(yè)銀行IT外包風(fēng)險(xiǎn)概述133
7.1.3商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)135
7.2商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控措施135
7.2.1商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控相關(guān)監(jiān)管要求135
7.2.2商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控工作方法136
第8章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控案例140
8.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控項(xiàng)目案例140
8.1.1項(xiàng)目背景140
8.1.2項(xiàng)目研發(fā)風(fēng)險(xiǎn)管控工作實(shí)施情況141
8.2商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控項(xiàng)目案例145
8.2.1項(xiàng)目背景145
8.2.2項(xiàng)目研發(fā)外包風(fēng)險(xiǎn)管控工作實(shí)施情況146
技術(shù)篇
第9章信息系統(tǒng)安全研發(fā)策略和方法150
9.1安全研發(fā)策略和原則150
9.1.1安全研發(fā)策略150
9.1.2安全設(shè)計(jì)原則151
9.2威脅建模154
9.2.1威脅建模的定義154
9.2.2威脅建模的對(duì)象154
9.2.3威脅建模的過(guò)程155
9.3攻擊面最小化分析157
9.3.1攻擊面最小化分析的概念157
9.3.2攻擊面最小化分析過(guò)程158
9.4安全架構(gòu)和組件159
9.4.1安全架構(gòu)159
9.4.2安全組件160
9.5源代碼安全審核163
9.5.1源代碼安全審核的概念163
9.5.2源代碼安全審核原理163
9.5.3源代碼安全審核工具164
9.6滲透測(cè)試165
9.6.1滲透測(cè)試的概念165
9.6.2滲透測(cè)試步驟與方法166
第10章信息系統(tǒng)安全研發(fā)技術(shù)168
10.1身份認(rèn)證169
10.1.1身份認(rèn)證的基本概念169
10.1.2身份認(rèn)證模式的分類169
10.1.3身份認(rèn)證技術(shù)171
10.2訪問(wèn)控制174
10.2.1訪問(wèn)控制概述174
10.2.2訪問(wèn)控制策略175
10.2.3訪問(wèn)控制模型176
10.3安全審計(jì)179
10.3.1安全審計(jì)概述179
10.3.2安全審計(jì)的內(nèi)容180
10.3.3安全審計(jì)的實(shí)施180
10.4密碼技術(shù)181
10.4.1密碼技術(shù)概述181
10.4.2加密算法概述184
10.4.3密碼技術(shù)應(yīng)用185
10.5網(wǎng)絡(luò)安全188
10.5.1網(wǎng)絡(luò)安全基礎(chǔ)188
10.5.2網(wǎng)絡(luò)安全協(xié)議191
10.5.3常見(jiàn)網(wǎng)絡(luò)安全威脅194
10.5.4常見(jiàn)網(wǎng)絡(luò)安全技術(shù)198
10.6漏洞防護(hù)207
10.6.1安全漏洞的概念208
10.6.2安全漏洞的分類和分級(jí)209
10.6.3常見(jiàn)安全漏洞及防護(hù)210
10.7操作系統(tǒng)安全220
10.7.1操作系統(tǒng)概述220
10.7.2操作系統(tǒng)安全概述222
10.7.3操作系統(tǒng)安全的實(shí)現(xiàn)223
10.8數(shù)據(jù)庫(kù)系統(tǒng)安全225
10.8.1數(shù)據(jù)庫(kù)系統(tǒng)概述225
10.8.2數(shù)據(jù)庫(kù)系統(tǒng)安全概述228
10.8.3數(shù)據(jù)庫(kù)系統(tǒng)安全的實(shí)現(xiàn)230
10.9數(shù)據(jù)安全234
10.9.1數(shù)據(jù)安全的概念234
10.9.2數(shù)據(jù)安全保護(hù)措施236
10.10其他安全技術(shù)238
10.10.1互聯(lián)網(wǎng)金融安全238
10.10.2大數(shù)據(jù)安全242
10.10.3云計(jì)算安全246
10.10.4物聯(lián)網(wǎng)安全251
參考文獻(xiàn)257
。6)商業(yè)銀行內(nèi)部控制指引2014年9月12日,銀監(jiān)會(huì)發(fā)布了修訂后的《商業(yè)銀行內(nèi)部控制指引》。修訂后的《商業(yè)銀行內(nèi)部控制指引》主要從內(nèi)控評(píng)價(jià)、內(nèi)控監(jiān)督、監(jiān)管約束、監(jiān)管引領(lǐng)四個(gè)方面,來(lái)引導(dǎo)商業(yè)銀行強(qiáng)化內(nèi)控管理。
《商業(yè)銀行內(nèi)部控制指引》強(qiáng)調(diào),內(nèi)部控制是商業(yè)銀行董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層和全體員工參與的,通過(guò)制定和實(shí)施系統(tǒng)化的制度、流程和方法,實(shí)現(xiàn)控制目標(biāo)的動(dòng)態(tài)過(guò)程和機(jī)制。此外,規(guī)范了內(nèi)部控制的治理和組織架構(gòu),明確了董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層、內(nèi)控管理職能部門(mén)、內(nèi)部審計(jì)部門(mén)、業(yè)務(wù)部門(mén)等各主體關(guān)于內(nèi)部控制的職責(zé)分工。
在信息科技方面,《商業(yè)銀行內(nèi)部控制指引》要求商業(yè)銀行應(yīng)當(dāng)加強(qiáng)對(duì)信息的安全控制和保密管理,對(duì)各類信息實(shí)施分等級(jí)的安全管理,對(duì)信息系統(tǒng)訪問(wèn)實(shí)施權(quán)限管理,確保信息安全。
(7)電子銀行安全評(píng)估指引2006年,銀監(jiān)會(huì)發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》。指引所指的電子銀行包括兩部分:網(wǎng)上銀行、電話銀行和手機(jī)銀行;其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò),由客戶通過(guò)自助服務(wù)方式完成金融交易的銀行業(yè)務(wù),包括自助銀行、ATM機(jī)等。