信息科技风险管理：合规管理、技术防控与数字化 pdf下载

适读人群 ：金融机构高层管理人员； 金融机构首席信息官；金融机构业务部门、信息科技部门工作人员；金融机构的IT服务商等。

（1）行业标准著作：内容系统全面，理论实践兼顾，既有监管要求深度剖析，又有实践经验系统总结，平安、招商、广发、九江等银行专家和高管力荐。
（2）作者背景资深：5位作者均在银行业有近20年的工作经验，都来自管理岗和核心技术岗，汇聚了作者们在大型商业银行、股份制银行、城商行的宝贵经验。
（3）理论实践兼顾：从合规管理和技术防控2个维度，全面讲解信息科技风险管理8个领域的方法论和实施方案，指导金融机构从容驾驭科技风险，让合规创造价值。

这是一本能系统指导银行等金融机构切实做好信息科技风险管理从而提升业务价值的著作。它是5位资深的银行业科技工作者近20年的工作总结，汇聚了他们在大型商业银行、股份制银行、城商行的宝贵经验。

本书的理念是：“从容驾驭科技风险，让合规创造价值”，从合规管理和技术防控2个维度全面地分析和讲解了信息科技风险管理的监管规则、合规要求、技术方案和实施方法等，可以作为信息科技风险管理的标准参考书。

合规管理层面：基于对信息科技风险管理的监管要求的深入分析和作者团队丰富的从业经验，总结了信息科技治理、信息科技风险管理、信息科技审计、信息安全管理、信息科技开发及测试、信息科技运行及维护、业务连续性管理、信息科技外包管理8大领域的方法论和落地要求。

技术防控层面：从业务架构、技术架构、功能实现、预期效果等维度详细讲解了以上8大领域的自动化、智能化实施方案；除此之外，还讲解了业务风险防范过程中信息技术的应用，以及金融机构信息技术自主可控的现状和挑战。

李燕

现任某银行科技部总经理室成员，具有18年商业银行总行科技工作经验，在金融科技管理、系统开发、测试、科技风险和信息安全等方面均有丰富经验。2019年与人合著《企业安全建设指南：金融行业安全架构与技术实践》，2021年作为领导小组成员和主要执笔人编著《智慧监管探索与实践》，在 《中国金融电脑》 《中国信息安全》《金融科技时代》等杂志发表多篇论文。

林卫华

某银行信息科技部副总，具有22年商业银行总行信息科技从业经验。曾担任某大型商业银行软件开发中心应用支持部总经理和海外支持部总经理职务，多次主要参与和主持银行信息系统大型项目和工程的研发与实施工作，包括会计科目体系改革、银行核心系统的更替升级、两地三中心工程的实施等。在金融信息系统的架构设计、开发、运维以及业务连续性建设方面均有丰富的经验和独到的见解。

杨春明

项目管理师、经济师。具有18年商业银行总行信息科技工作经验，主持过全国性股份制银行的应用系统建设工作，具有大型复杂项目的管理能力和专业技术能力。曾参与中小银行从筹备到快速发展的信息科技历程，对银行业务有广泛的了解。在银行金融产品开发测试、风险管理及运营维护方面有深入的实践和理解。

秦志华

某商业银行总行信息科技部运维团队负责人，具有20年运维工作经历，主持过商业银行总行数据中心机房、网络、系统等方面的筹建与运维管理工作，具用丰富的数据中心基础设施建设与运维管理经验，在两地三中心建设与业务连续性管理方面有深入实践与理解。

赖胜枢

先后在500强外企中国研发中心、商业银行总行信息技术部门工作，在软件开发、运维支持、质量管理方面具有深入的理解，特别是在网络安全领域深耕多年，对网络安全相关架构、规划、流程以及技术体系有独到的见解和丰富的实践经验。

肖 璟　九江银行行长
金融机构信息科技风险管理关乎国家金融行业的稳定和发展，一直是金融机构管理人员特别重视的话题。本书对金融信息科技风险进行全面的阐释，值得一读！

徐 徽　广发银行数据中心总经理
科技在影响客户行为和商业模式、引领金融业务高歌猛进的同时，也改变着金融风险的类型、模式和影响。对于如何守正创新，驾驭科技的风险，让合规创造价值，本书从理论和实践两个维度给出了系统性阐述，从业者、即将从业者、关心者，都可从中找到参考和建议。

贾俊刚　招商银行信息技术部副总经理
随着信息技术的迅猛发展，金融科技对于金融行业的发展已经产生了不可估量的作用。与此同时，金融机构信息科技风险管理也成为伴随金融科技迅猛发展而必须重点关注的环节。本书作者均是从事金融信息科技行业多年的老兵，具备大型商业银行、股份制银行、城商行的实践经验。本书为我们提供了非常实用、非常有价值的理论总结和技术参考，相信对于广大读者来说将会大有裨益。

宋 歌　平安银行金融科技部总经理助理
作为已经在金融科技行业从业多年的一员，金融机构信息科技风险管理一直是我关注的话题。对于如何切实做好金融科技风险管理，本书从合规管理、技术防控和数字化等方面做了非常细致的论述，是一本有着较大参考价值的工具书，在此推荐给广大金融科技战线的读者，希望大家读有所思、读有所得。

第一部分　合规管理

第1章　新时代金融机构信息科技

　　　　风险概述2

1.1　新时代金融机构信息科技风险态势2

1.1.1　金融机构信息科技风险的概念3

1.1.2　金融机构信息科技风险监管

　　　发展历程4

1.1.3　国际金融机构信息科技风险

　　　管理现状与趋势6

1.1.4　国内金融机构信息科技风险

　　　管理现状与特点8

1.2　金融机构信息科技风险管理整体

　 　架构9

1.2.1　八大领域的监管合规9

1.2.2　监管合规的技术辅助13

1.3　本章小结15

第2章　信息科技治理16

2.1　董事会履职16

2.1.1　董事会的职责16

2.1.2　董事会信息科技管理相关

　　　职责18

2.2　高管层履职19

2.2.1　监管对高级管理层的要求19

2.2.2　高级管理层的职责20

2.2.3　信息科技管理委员会和首席

　　　信息官21

2.3　组织架构设计21

2.3.1　信息科技风险防范的三道防线

　　　机制21

2.3.2　三道防线协同机制22

2.3.3　其他业务部门23

2.4　信息科技战略规划23

2.4.1　信息科技规划方案的制定24

2.4.2　信息科技规划的实施方案26

2.4.3　信息科技架构的开发与管理27

2.4.4　信息科技架构的具体设计30

2.5　科技预算控制32

2.5.1　科技预算的组成及编制方法32

2.5.2　预算执行及效益分析评价34

2.5.3　科技预算闭环管理机制36

2.6　本章小结37

第3章　信息科技风险管理38

3.1　风险管理体系38

3.1.1　工作职责38

3.1.2　组织架构和汇报路线39

3.1.3　科技风险与全面风险的关系39

3.2　工作机制39

3.2.1　风险管理策略和制度40

3.2.2　风险评估领域和方法论41

3.2.3　常见风险评估项目42

3.2.4　风险监测44

3.2.5　突击检查46

3.2.6　日常突发事件管理46

3.2.7　非现场监管报表报送48

3.2.8　整改追踪和效果回顾48

3.3　本章小结49

第4章　信息科技审计管理50

4.1　审计管理体系50

4.1.1　工作职责50

4.1.2　组织架构和汇报路线51

4.2　工作机制51

4.2.1　审计制度51

4.2.2　内外审计领域和方法论51

4.2.3　常见的审计方法和审计项目52

4.2.4　整改追踪和效果回顾54

4.3　本章小结54

第5章　信息安全管理55

5.1　信息安全管理体系55

5.1.1　组织架构55

5.1.2　制度体系57

5.1.3　ISO27001信息安全管理体系59

5.2　信息安全事件管理61

5.2.1　信息安全事件分类61

5.2.2　信息安全事件管理组织架构62

5.2.3　信息安全事件识别62

5.2.4　信息安全事件报告63

5.2.5　信息安全事件处置63

5.2.6　信息安全事件复盘63

5.3　信息安全意识管理64

5.3.1　信息安全意识培训体系设计64

5.3.2　信息安全意识培训实施64

5.4　本章小结66

第6章　开发与测试风险管理67

6.1　开发风险管理体系67

6.1.1　开发风险管理体系框架67

6.1.2　组织架构69

6.2　项目周期中的开发风险管理70

6.2.1　启动阶段风险管理71

6.2.2　需求分析阶段风险管理72

6.2.3　系统设计阶段风险管理73

6.2.4　编程阶段风险管理73

6.2.5　测试阶段风险管理74

6.2.6　投产阶段风险管理74

6.3　开发质量保障74

6.3.1　软件能力成熟度集成模型75

6.3.2　单项目管理与项目群管理76

6.3.3　应用成熟度管理80

6.4　测试管理85

6.4.1　测试成熟度模型集成85

6.4.2　测试管理组织架构86

6.4.3　测试管理体系88

6.5　业务部门参与风险管理89

6.5.1　需求阶段89

6.5.2　测试阶段90

6.5.3　验收结算90

6.5.4　项目后评价阶段90

6.6　本章小结91

第7章　运维管理92

7.1　运维管理体系92

7.1.1　运维服务体系92

7.1.2　运维组织架构95

7.1.3　运维流程管理97

7.2　日常运维管理100

7.2.1　机房基础设施运维100

7.2.2　网络运维101

7.2.3　服务器和存储运维102

7.2.4　基础软件运维102

7.2.5　应用运维103

7.3　运维指标体系104

7.3.1　指标体系设计原则104

7.3.2　指标体系设计结果105

7.3.3　指标体系监测和运行机制108

7.4　本章小结110

第8章　业务连续性管理111

8.1　业务连续性管理体系111

8.1.1　业务连续性整体框架111

8.1.2　组织架构112

8.2　业务连续性管理与执行113

8.2.1　业务连续性管理113

8.2.2　应急处置115

8.2.3　灾难恢复116

8.3　业务连续性演练与管理评估116

8.3.1　业务连续性演练117

8.3.2　业务连续性管理评估117

8.4　本章小结118

第9章　外包管理119

9.1　外包管理体系119

9.1.1　外包战略119

9.1.2　外包管理组织架构121

9.1.3　外包管理制度体系122

9.2　外包商管理机制123

9.2.1　外包商准入123

9.2.2　外包商退出124

9.2.3　外包商持续监测和风险评估124

9.3　日常外包管理125

9.3.1　外包人员日常管理机制126

9.3.2　外包人员信息安全管理126

9.3.3　外包人员考评管理127

9.4　降低外包依赖度128

9.4.1　外包依赖风险分析128

9.4.2　降低外包依赖的措施129

9.4.3　效果衡量130

9.5　本章小结130

第二部分　技术防控

第10章　信息科技治理数字化转型132

10.1　全生命周期工具化、线上化132

10.1.1　信息科技管理工具的整体

　　 　架构133

10.1.2　信息科技管理工具的协同

　　 　关系135

10.2　项目管理工具138

10.2.1　业务架构139

10.2.2　技术架构141

10.2.3　功能实现143

10.2.4　预期效果144

10.3　架构管理工具145

10.3.1　业务架构145

10.3.2　技术架构148

10.3.3　功能实现149

10.3.4　预期效果151

10.4　本章小结152

第11章　风险管理技术化153

11.1　日常监测工具化153

11.1.1　信息科技风险监测体系及

　　 　监测系统153

11.1.2　信息科技关键风险指标的

　　 　自动化监测155

11.2　监管数据报送自动化156

11.2.1　源数据质量治理157

11.2.2　监管数据自动采集161

11.2.3　监管数据自动校验163

11.2.4　监管数据自动报送164

11.3　本章小结165

第12章　审计管理166

12.1　现场审计系统166

12.1.1　业务架构167

12.1.2　技术架构168

12.1.3　功能实现170

12.1.4　预期效果171

12.2　非现场审计系统172

12.2.1　业务架构172

12.2.2　技术架构173

12.2.3　功能实现174

12.2.4　预期效果175

12.3　信息系统审计工具175

12.4　审计系统中金融科技的应用177

12.4.1　金融科技背景下内部审计

　　 　面临的挑战177

12.4.2　大数据智慧审计系统的技术

　　 　应用架构177

12.4.3　金融科技在审计系统中的

　　 　应用179

12.4.4　预期效果180

12.5　本章小结181

第13章　安全技术架构182

13.1　安全技术架构的组成182

13.1.1　机房安全182

13.1.2　网络安全184

13.1.3　系统安全189

13.1.4　应用安全192

13.1.5　终端安全194

13.1.6　数据安全196

13.2　安全评估和安全态势感知198

13.2.1　渗透测试198

13.2.2　网络安全态势感知技术架构201

13.2.3　安全态势感知实施效果205

13.3　安全运营206

13.3.1　组织架构206

13.3.2　安全运营体系207

13.3.3　安全运营实施效果的评价和

　　 　持续改进210

13.4　本章小结211

第14章　开发与测试管理212

14.1　开发管理工具的体系建设212

14.1.1　数据管理—数据管控平台214

14.1.2　接口管理—服务治理217

14.1.3　配置管理—持续集成与

　　 　持续发布219

14.2　测试管理工具的体系建设222

14.2.1　测试技术体系222

14.2.2　测试管理平台223

14.2.3　自动化测试225

14.2.4　性能测试229

14.3　账务差错风险规避与解决231

14.3.1　产生账务差错风险的两大

　　 　原因232

14.3.2　账务差错风险的规避手段233

14.3.3　账务自动轧账的设计233

14.4　联机批量冲突风险的应对方案238

14.4.1　联机批量冲突风险的分析

　　 　归类238

14.4.2　数据处理冲突风险的解决

　　 　方案239

14.4.3　资源使用冲突风险的解决

　　 　方案241

14.4.4　联机批量冲突的案例分析243

14.5　系统更替式升级风险应对方案244

14.5.1　应用系统功能更替的风险244

14.5.2　应用系统数据迁移的风险247

14.5.3　应用系统与其他系统的耦合

　　 　风险249

14.6　本章小结250

第15章　数据中心的运维管理251

15.1　信息科技运维技术体系251

15.1.1　运维一体化体系架构252

15.1.2　配置管理数据库254

15.1.3　监控一体化管理257

15.1.4　操作一体化管理259

15.1.5　IT服务管理261

15.2　运维的标准化、自动化和智能化263

15.2.1　运维标准化建设264

15.2.2　运维自动化建设266

15.2.3　运维智能化建设268

15.3　本章小结272

第16章　金融机构基础设施系统273

16.1　金融机构基础设施基本组成273

16.2　金融机构数据中心机房的建设275

16.2.1　数据中心机房规划设计的

　　 　问题与方法275

16.2.2　数据中心机房关键模块的

　　 　建设280

16.3　两地三中心的建设与运维288

16.3.1　主数据中心288

16.3.2　灾难备份中心303

16.4　本章小结311

第17章　外包管理平台312

17.1　外包管理系统312

17.1.1　业务架构312

17.1.2　技术架构313

17.1.3　功能实现313

17.1.4　预期效果315

17.2　外包信息共享平台315

17.2.1　业务架构316

17.2.2　技术架构316

17.2.3　功能实现317

17.2.4　预期效果319

17.3　本章小结320

第18章　金融科技相关技术与

　 　 　风险管理321

18.1　金融科技相关技术在风险管理

　 　中的应用321

18.1.1　人工智能和大数据321

18.1.2　区块链324

18.1.3　云计算与边缘计算324

18.1.4　5G和物联网325

18.2　新技术应用的风险防范326

18.2.1　人工智能和大数据326

18.2.2　区块链328

18.2.3　云计算330

18.2.4　边缘计算331

18.2.5　5G和物联网332

18.3　本章小结334

第19章　业务风险技术防范335

19.1　金融业务风险分析335

19.1.1　金融业务风险的含义335

19.1.2　金融业务风险的种类336

19.1.3　金融业务风险管理发展历程337

19.2　业务风险技术的防范措施338

19.2.1　建设智能风控体系的步骤338

19.2.2　智能风控技术框架340

19.2.3　智能风控的应用场景341

19.3　本章小结342

第20章　信息技术自主可控343

20.1　信息技术自主可控现状343

20.2　信息技术自主可控面临的问题345

20.3　信息技术自主可控的推进策略346

20.3.1　总体原则347

20.3.2　整体规划347

20.4　信息技术自主可控的应用与

　 　预期效果348

20.5　信息技术自主可控的挑战349

20.6　本章小结349

第21章　总结及展望350

21.1　总结和启示350

21.2　未来展望352

21.3　本章小结355

【为什么要写这本书】
本书作者均奋战在金融科技前沿领域多年，在致力于利用信息科技赋能金融机构业务发展的道路上贡献着自己的力量。我们决定将各自积累的信息科技风险管理方面的经验整理出来，编撰成书，在对经验进行总结并加以分析的同时，探索更多合理、高效的信息科技风险管理最佳实践。
信息科技对金融业务发展所起的作用是举足轻重的。近年来，金融机构在战略规划中相继引入科技引领的概念。作为金融机构信息科技从业人员，我们笃信信息科技是一个非常有用的工具，一个兼具产品思维和管理思维、拥有高质增效能力的工具。这个工具如果在金融机构的业务发展中被很好地利用，可以帮助业务部门在开拓市场的过程中乘风破浪、激流勇进，创造丰硕成果；如果用不好信息科技这个工具，则可能引发信息科技风险，不仅损害金融机构业务的发展，还可能破坏金融业的安全和国家金融体系的稳定，信息科技风险甚至成为唯一可能使银行业务在瞬间全部瘫痪的重要风险。那么如何在充分利用好信息科技赋能金融机构业务发展的同时，做好金融机构信息科技风险管理，是本书将重点探讨的
内容。
金融机构风险管理的关键在于得到金融机构上上下下、里里外外相关人员的重视，在金融机构信息科技的各个领域做好全面的风险管控，避免百密一疏。
写作本书的目的，并非要大家谈虎色变，惧怕信息科技风险而因噎废食，而是让读者在充分认识和理解信息科技风险管理的基础上，更好地利用信息科技的手段促进本机构的业务发展。风险管理做得足够好，往往能够创造更多、更好的机会。希望本书能够帮助广大读者在日后的工作中更好地管理信息科技风险，在本职工作中努力创新，利用信息科技工具推动本机构业务的发展，创造更辉煌的未来。

【读者对象】
金融机构高层管理人员。
金融机构首席信息官。
金融机构业务部门、信息科技部门工作人员。
金融机构的IT服务商等。

【本书特色】
相较于其他关于信息科技风险的图书，本书的主要特点如下。
本书对金融机构信息科技风险管理进行了较全面的论述。对于金融机构信息科技风险管理的八大领域，本书均有细致而完整的梳理和分析，并提出了独到的见解。
本书注重理论与实践相结合，内容分为合规管理和技术防控两部分。第一部分针对信息科技风险管理的监管要求加以分析和说明，并总结出行之有效的方法论。第二部分本着技防胜于人防的观点，结合业界在各个领域的最新发展动态，提出了信息科技风险管理的信息化、自动化和智能化实施方案，概括了各场景下信息科技风险管理的最佳实践。
本书紧扣热点，针对金融科技技术应用蓬勃发展以及近年来提出的信息技术自主可控等话题进行了探讨，并根据作者的从业经历，给出了一系列可快速落地的方案。

【如何阅读本书】
本书分为两部分。
第一部分为合规管理（第1～9章），主要分析了新时代金融机构信息科技风险的态势，并逐一阐述金融机构信息科技风险管理八大领域。
第二部分为技术防控（第10～21章），从技术防控角度阐述了各个细分领域风险管理信息化、自动化和智能化的最佳实践，并对金融机构信息科技风险管理的未来进行了展望。