我要預訂

咨詢電話：027-5111 9925 , 027-5111 9926手機：18971071887郵箱：Service@mingketang.com

課程大綱

模塊一 金融機構網絡（信息）安全監管要求與政策解讀

一．中國人民銀行和國家金融監督管理總局監管要求

中國人民銀行

《關于加強銀行數據集中安全工作的指導意見》（銀發[2002]260號）

《銀行計算機安全事件報告管理制度》（銀發[2002]280號）

《中國人民銀行關于進一步加強銀行業金融機構信息安全保障工作的指導意見》（銀發[2006]123號）

《金融業信息安全協調工作預案》（銀發[2010] 250號）

《金融服務 信息安全指南》（GB/T 27910-2011）

《中國人民銀行關于進一步做好銀行業金融機構重大事項報告有關工作的通知》（銀發[2011]23號）

JR/T 0073-2012 金融行業信息安全等級保護測評服務安全指引

《移動金融客戶端應用軟件安全管理規范》（JR/T 0092—2019）《發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》（銀發〔2019〕237號）

《網上銀行系統信息安全通用規范》（JR/T 0068—2020）

《商業銀行應用程序接口安全管理規范》（JRT 0185-2020）《中國人民銀行關于發布金融行業標準加強商業銀行應用程序接口安全管理的通知》（銀發〔2020〕44號）

《個人金融信息保護技術規范》（JR/T 0171—2020）《中國人民銀行關于發布金融行業標準做好個人金融信息保護技術管理工作的通知》（銀發〔2020〕45號）

《關于開展金融科技應用風險專項摸排工作的通知》（銀辦發〔2020〕45號）

JR/T 0071-2020 金融行業網絡安全等級保護實施指引

JR/T 0072-2020 金融行業網絡安全等級保護測評指南

JR/T 0197-2020 金融數據安全 數據安全分級指南

JR/T 0223-2021 金融數據安全 數據生命周期安全規范

金融數據安全 數據安全評估規范（征求意見稿）

《中國人民銀行業務領域數據安全管理辦法》（征求意見稿）

國家金融監督管理總局（原銀保監會、原銀監會、原保監會）

《銀監會辦公廳關于開展銀行業網絡安全風險專項評估治理及配合做好關鍵信息基礎設施網絡安全檢查工作的通知》（銀監辦發[2016]107號）

《中國銀監會辦公廳關于加強網絡信息安全與客戶信息保護有關事項的通知》（銀監辦發[2017]2號）

《中國銀監會辦公廳關于加強互聯網業務系統交易安全風險防范的通知》（銀監辦發[2018]20號）

《中國銀行保險監督管理委員會辦公廳關于加強無線網絡安全管理的通知》（銀保監辦發[2018]50號）

《中國銀保監會辦公廳關于銀行機構網絡安全漏洞引發虛假賬戶風險的通報》（銀保監辦發[2019]94號）

《中國銀保監會辦公廳關于開展銀行業和保險業網絡安全專項治理工作的通知》（銀監辦發[2019]129號）

《銀行業從業人員職業操守和行為準則》（銀協發〔2020〕120號）

《中國銀保監會監管數據安全管理辦法（試行）》（銀保監發[2020]43號）

《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》（銀保監辦法〔2022〕80號）

《銀行保險機構消費者權益保護管理辦法》 （中國銀行保險監督管理委員會令2022年第9號）

《關于加強第三方合作中網絡和數據安全管理的通知》（金辦便函[2023]44號）

《關于系統未授權查詢漏洞導致客戶泄露風險提示的通知》（金辦便函〔2023〕542號）

《銀行保險機構操作風險管理辦法》（國家金融監督管理總局令2023年第5號）

《銀行保險機構數據安全管理辦法（公開征求意見稿）》

《關于銀行保險機構侵害個人信息權益亂象專項整治發現主要問題的通報》

二．監管政策出臺背景與意圖深度解讀

模塊二 金融機構網絡（信息）安全風險形勢和案例分析

一．金融機構網絡（信息）安全風險形勢

1.風險形勢

2.監管罰單案由、同業現狀和不足

二．金融機構網絡（信息）典型案例分析

“日立存儲”事件

冒用他人賬號向核心業務系統植入惡意程序篡改交易狀態

前置組組長寫入客戶信用卡磁條信息盜竊

偽基站短信釣魚詐騙風險事件

非法補辦手機卡盜劃手機銀行資金事件

黑客軟件攻擊網銀事件

網絡DDOS攻擊事件

暴力攻擊獲取網銀用戶密碼事件

非法監控ATM機，盜取客戶信息及資金事件

不法分子截取修改自助設備傳輸數據虛增存款事件

視頻監控系統存在安全隱患

外包網絡安全風險事件多個案例

個人信息安全風險事件多個案例

個人II、III 類開戶系統存在安全漏洞事件多個案例

監管關注的網絡安全事件總結

模塊三 金融機構網絡（信息）的自身特征與網絡（信息）安全治理和管理實施重點

一．網絡安全風險特點

二．信息科技風險定義、分類和監管視角的信息科技風險-信息安全（網絡安全、信息安全、數據安全、個人金融信息安全）

三．金融機構信息安全治理和管理的含義

四．基于合規VS基于業務的網絡（信息）安全

五．網絡（信息）安全風險管理三道防線分工和協作

模塊四 網絡（信息）安全法律、行政法規、部門規章和政策

國家安全法

網絡安全法

密碼法

電子簽名法

數據安全法

個人信息保護法

反電信網絡詐騙法

關鍵信息基礎設施安全保護條例

網絡安全等級保護條例（征求意見稿）

中辦、國辦

中央網信辦、公安部、國家保密局、國家密碼管理局、財政部、審計署、國資委、工信部等部門規章和政策

監管政策出臺背景與意圖深度解讀

模塊五 網絡安全等級保護標準解讀

JR/T 0071-2020 金融行業網絡安全等級保護實施指引

JR/T 0072-2020 金融行業網絡安全等級保護測評指南

一．基本要求

安全管理要求

安全管理制度

安全管理機構

安全管理人員

安全建設管理

安全運維管理

安全技術要求

安全物理環境

安全通信網絡

安全區域邊界

安全計算環境

安全管理中心

二．擴展要求

云計算安全擴展要求

移動互聯安全擴展要求

物聯網安全擴展要求

三．金融行業增強性安全要求（F類）

標準出臺背景與意圖深度解讀

模塊六 網絡（信息）安全治理和管理實踐

一、網絡安全治理

1.企業治理（公司治理）、IT治理、網絡安全治理

2.網絡安全風險管理的三道防線

二、網絡安全管理

1.網絡安全管理制度

2.網絡安全管理組織

3.網絡安全方針和策略

4.網絡安全規劃

5.網絡安全基線

（1）開發技術規范、運維技術規范

（2）網絡安全技術規范

6.網絡安全度量和績效

7.網絡安全投資回報

三、網絡安全監控和應急處置

1.安全運營中心（SOC）和大數據安全平臺

（1）勒索軟件、釣魚郵件、DDOS攻擊

（2）高級持續性威脅APT

（3）威脅情報和態勢感知

（4）漏洞管理

2.滲透測試和CTF

（1）紅藍對抗和信息安全實驗室

（2）未知攻，焉知守 VS 已知攻，焉知守

（3）護網和重保

3.從安全運維到安全運營

模塊七 網絡（信息）安全技術實踐

一、密碼技術和密鑰管理

二、身份認證和集中授權

三、網絡和通訊安全

四、主機系統安全

五、終端安全

六、軟件安全（開源軟件、軟件供應鏈安全）

七、數據安全

八、存儲安全

九、業務安全

十、信息技術應用創新（信創）

十一、金融科技和網絡安全

馬老師

馬慶

常駐地：北京

專業認證

1.注冊信息系統審計師（CISA，Certified Information System Auditor），2002年，ISACA

2.注冊內部審計師（CIA，Certified Internal Auditor），2003年，IIA

3.注冊控制自我評估師（CCSA, Certification in Control Self-Assessment），2003年，IIA

4.特許金融分析師（CFA，Chartered Financial Analyst)二級考試，2005年，CFA Institute

5.注冊業務持續性專家（CBCP，Certified Business Continuity Professional），2011年，DRII

6.網絡安全認證（Security+），2011年，CompTIA

7.ISO22301業務連續性管理體系主任執行師（ISO 22301 BCMS Lead Implementer），2013年，PECB

8.ISO27001信息安全管理體系主任審計師（ISO/IEC 27001 ISMS Lead Auditor），2013年，PECB

講師資質

1.國家互聯網應急中心CNCERT網絡安全能力認證培訓講師

2.中國信息安全測評中心CISP信息安全培訓講師-注冊信息安全培訓講師CISI。

3.中國網絡安全審查技術與認證中心信息系統審計師ISA 課程設計師，培訓講師。

4.中國通信企業協會網絡安全人員能力認證講師。

5.中國銀行業協會東方銀行業高級管理人員研修院商業銀行業務連續性管理專家講師。

6.中國計算機用戶協會信息科技審計分會業務連續性管理、信息科技外包風險管理、信息科技審計等專家庫專家，專家講師。

7.中治研（北京）國際信息技術研究院高級研究員，中治智庫專家庫專家，專家講師，《中國IT治理.價值叢書》編委會委員。

8.云安全聯盟CSA云安全授權講師，課程包括：CCSMP（國際注冊云安全管理認證專家）、CCSSP（國際注冊云安全系統認證專家）。

9.國際災難恢復（中國）協會（DRI China）技術委員會（DRICTC）委員（2011--2014），專業講師資質認證（TCBC），課程包括：注冊業務持續性專家（CBCP）。

10.職業評價和認證委員會Professional Evaluation and Certification Board（PECB）專業講師資質認證（PECB CERTIFIED TRAINER），課程包括：ISO 27001 Foundation，ISO/IEC 27001LA和ISO/IEC 27001LI；ISO 22301 Foundation，ISO 22301 LA和ISO 22301 LI。

11.美國培訓認證協會（AACTP）國際認證培訓師（ICT，International Certificated Trainer）。

12.中國電子勞動學會數字素養與技能提升人才培養工程智庫專家

13.中國電力企業聯合會科技開發服務中心/中國電力技術市場協會專家庫專家。

14.中國通信工業協會信息安全分會專家庫專家。

15.中國國際航空公司信息管理部專家庫專家。

行業經驗

馬慶在信息系統審計、信息科技風險管理、業務連續性管理和網絡信息安全管理領域擁有34年的實施、咨詢經驗，在技術管理方面具有豐富知識和經驗，通曉電信運營商、金融行業信息系統軟件、硬件、開發、運營、維護、管理和安全，熟悉業務運營管理的核心，能夠利用信息系統審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。

專業著作

在國家會計學院《中國會計視野》，《中國計算機用戶》，《計算機產品與流通》等發表多篇信息系統審計實踐文章；在《計算機世界》，《中國計算機報》，《互聯網周刊》，《每周電腦報》，《信息安全》等發表多篇信息系統安全，商務智能文章，中國最早最大的信息系統審計論壇（www.itpub.net的“信息安全與審計”）的資深斑竹“cisamaqing”。

馬慶同時是一位專業講師，為電信、金融、政府和公用事業、企業以及行業協會等提供下列領域培訓服務：

1. 信息化規劃、績效評價、運營管理；

2. 內部控制，內部審計，風險評估和風險管理，控制/風險自我評估（CSA），COSO，Sarbanes & Oxley Act；

3. 信息系統審計和控制，CISA認證，CISM認證，CRISC認證，CGEIT認證，COBIT 5/COBIT2019認證；

4. 金融行業、電信運營商、企業級網絡性能管理，信息安全管理，網絡安全等級保護/關鍵信息基礎設施安全保護，CISP認證，CISSP認證，CCSP認證，云安全CSA認證，ISO27001LA認證；

5. 業務連續性（BCP） ，災難恢復（DRP），CBCP認證，ISO 22301 Foundation，ISO22031LA和ISO22301LI認證。

我要預訂

咨詢電話：027-5111 9925 , 027-5111 9926手機：18971071887郵箱：Service@mingketang.com