我要預(yù)訂

咨詢電話：027-5111 9925 , 027-5111 9926手機(jī)：18971071887郵箱：Service@mingketang.com

課程背景

國(guó)家金融監(jiān)督管理總局（中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)）指出，信息科技風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)，在銀行的全部風(fēng)險(xiǎn)中，信息科技風(fēng)險(xiǎn)幾乎是唯一可能使銀行業(yè)務(wù)在瞬間全部癱瘓的重要風(fēng)險(xiǎn)，銀行業(yè)信息系統(tǒng)安全、穩(wěn)健運(yùn)行，關(guān)系銀行業(yè)自身可持續(xù)發(fā)展，關(guān)系金融安全。金融監(jiān)管總局不斷細(xì)化深入信息科技風(fēng)險(xiǎn)監(jiān)管工作，信息科技風(fēng)險(xiǎn)管理審計(jì)作為商業(yè)銀行重要的信息科技風(fēng)險(xiǎn)管理手段，應(yīng)當(dāng)在信息科技專項(xiàng)審計(jì)、全面審計(jì)、重要項(xiàng)目審計(jì)中發(fā)揮重要作用。

商業(yè)銀行信息科技風(fēng)險(xiǎn)管理從業(yè)務(wù)需求、合規(guī)性需求、信息科技風(fēng)險(xiǎn)管理需求出發(fā)，遵從風(fēng)險(xiǎn)管理的理念，在風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃的基礎(chǔ)上，全面指導(dǎo)商業(yè)銀行信息科技風(fēng)險(xiǎn)管控工作。隨著金融監(jiān)管總局、人民銀行和國(guó)家有關(guān)部門要求的提高，如何保障商業(yè)銀行業(yè)務(wù)持續(xù)運(yùn)營(yíng)、保障業(yè)務(wù)數(shù)據(jù)信息安全，解決商業(yè)銀行科技工作深入后帶來的一系列問題，本課程以金融監(jiān)管總局和中國(guó)人民銀行發(fā)布的監(jiān)管要求和金融標(biāo)準(zhǔn)為起點(diǎn)，通過介紹監(jiān)管要點(diǎn)、行業(yè)良好實(shí)踐，同時(shí)，輔以案例分析，為商業(yè)銀行如何保障業(yè)務(wù)持續(xù)運(yùn)營(yíng)、保護(hù)業(yè)務(wù)數(shù)據(jù)信息提供良好建議。

培訓(xùn)人員建議

信息科技風(fēng)險(xiǎn)管理相關(guān)人員，包括:

董事會(huì)和高級(jí)管理層分管信息科技風(fēng)險(xiǎn)管理的高級(jí)管理人員

信息科技風(fēng)險(xiǎn)管理三道防線（信息科技部信息安全管理、風(fēng)險(xiǎn)管理部信息科技風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)部信息科技風(fēng)險(xiǎn)審計(jì)）的管理人員和業(yè)務(wù)骨干

培訓(xùn)目的和收益

通過培訓(xùn)和交流，培訓(xùn)對(duì)象收獲：

理解銀行業(yè)金融機(jī)構(gòu)建立信息科技風(fēng)險(xiǎn)管理體系的監(jiān)管要求，監(jiān)管機(jī)構(gòu)要求相關(guān)管理層承擔(dān)的責(zé)任；

理解推動(dòng)信息科技風(fēng)險(xiǎn)管理和審計(jì)工作可以真正消除決策層（董事會(huì)和高級(jí)管理層）、信息科技管理部門、風(fēng)險(xiǎn)管理部門和內(nèi)部審計(jì)部門間溝通的障礙，真正找準(zhǔn)各自的定位關(guān)系，促進(jìn)信息科技風(fēng)險(xiǎn)審計(jì)和信息科技風(fēng)險(xiǎn)管理融合，支持銀行業(yè)務(wù)創(chuàng)新；

理解信息科技風(fēng)險(xiǎn)管理框架、商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)標(biāo)準(zhǔn)、依據(jù)和依據(jù)參考、商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)最佳實(shí)踐。

培訓(xùn)方式

知識(shí)講解、案例分析、互動(dòng)研討。

課程大綱

第一天 商業(yè)銀行信息科技風(fēng)險(xiǎn)和審計(jì)標(biāo)準(zhǔn)

模塊一 商業(yè)銀行信息科技風(fēng)險(xiǎn)形勢(shì)

1.商業(yè)銀行信息科技風(fēng)險(xiǎn)定義、分類和特點(diǎn)

定義

分類

特點(diǎn)

2.商業(yè)銀行信息科技風(fēng)險(xiǎn)事件形勢(shì)、最新監(jiān)管要求和案例分析

商業(yè)銀行信息科技風(fēng)險(xiǎn)事件形勢(shì)

商業(yè)銀行信息科技風(fēng)險(xiǎn)事件典型案例分析

商業(yè)銀行信息科技監(jiān)管要求

中國(guó)人民銀行

金融監(jiān)管總局（銀保監(jiān)會(huì)、銀監(jiān)會(huì)）

模塊二 商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)標(biāo)準(zhǔn)、依據(jù)和參考

1.審計(jì)標(biāo)準(zhǔn)

國(guó)家標(biāo)準(zhǔn)

國(guó)家審計(jì)署審計(jì)準(zhǔn)則

中國(guó)內(nèi)部審計(jì)協(xié)會(huì)審計(jì)準(zhǔn)則

國(guó)家標(biāo)準(zhǔn)：《信息技術(shù)服務(wù) 治理 第4部分 審計(jì)導(dǎo)則》等

團(tuán)體標(biāo)準(zhǔn)：《信息技術(shù)服務(wù) 治理 IT風(fēng)險(xiǎn)治理》、《信息技術(shù)服務(wù) 治理 數(shù)據(jù)審計(jì)》、《金融科技審計(jì) 基本原則》等

企業(yè)標(biāo)準(zhǔn)：中國(guó)人民銀行信息技術(shù)審計(jì)規(guī)范（QPBC 00001.1--4—2014）

國(guó)際標(biāo)準(zhǔn)和良好實(shí)踐

ISACA信息系統(tǒng)審計(jì)和鑒證標(biāo)準(zhǔn)、指南和工具

信息技術(shù)鑒證框架（ITAF）

2.審計(jì)依據(jù)

國(guó)家法律、行政法規(guī)、部門規(guī)章和政策

網(wǎng)絡(luò)安全法、密碼法、電子簽名法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例、網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）

中辦、國(guó)辦

中央網(wǎng)信辦、公安部、國(guó)家保密局、國(guó)家密碼管理局、財(cái)政部、審計(jì)署、國(guó)資委、工信部

3.審計(jì)依據(jù)參考

國(guó)家標(biāo)準(zhǔn)

GB/T系列

行業(yè)標(biāo)準(zhǔn)（金融）

國(guó)際標(biāo)準(zhǔn)

COBIT 2019/5.0

ISO（9000,20000,27000,22301）系列

CMMI、DRI、BCI、DAMA等

第二天 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理框架和審計(jì)

模塊三 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理框架

1.風(fēng)險(xiǎn)管理目標(biāo)

風(fēng)險(xiǎn)戰(zhàn)略

風(fēng)險(xiǎn)偏好

風(fēng)險(xiǎn)容忍度

2.風(fēng)險(xiǎn)管理流程

風(fēng)險(xiǎn)領(lǐng)域

風(fēng)險(xiǎn)管理工具

風(fēng)險(xiǎn)控制自評(píng)估（RCSA）

關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI）

信息科技風(fēng)險(xiǎn)事件

風(fēng)險(xiǎn)管理流程

風(fēng)險(xiǎn)識(shí)別和評(píng)估

風(fēng)險(xiǎn)應(yīng)對(duì)和控制

風(fēng)險(xiǎn)評(píng)價(jià)和計(jì)量

風(fēng)險(xiǎn)監(jiān)測(cè)和報(bào)告

3.風(fēng)險(xiǎn)管理機(jī)制

組織架構(gòu)

三道防線

管理制度和流程

風(fēng)險(xiǎn)文化

績(jī)效考核

意識(shí)教育和培訓(xùn)

風(fēng)險(xiǎn)信息溝通和報(bào)告

審計(jì)監(jiān)督

模塊四 商業(yè)銀行信息風(fēng)險(xiǎn)審計(jì)流程、方法和技術(shù)

一．商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)流程

1.審計(jì)準(zhǔn)備階段

審計(jì)目的和審計(jì)任務(wù)

審計(jì)依據(jù)

審計(jì)項(xiàng)目組

收集相關(guān)信息

審計(jì)規(guī)劃

審計(jì)風(fēng)險(xiǎn)

2.審計(jì)實(shí)施階段

進(jìn)場(chǎng)會(huì)

現(xiàn)場(chǎng)工作

IT控制評(píng)估

3.審計(jì)終結(jié)階段

工作底稿整理和復(fù)核

審計(jì)發(fā)現(xiàn)

溝通審計(jì)結(jié)果

審計(jì)報(bào)告

審計(jì)文檔歸檔

4.審計(jì)后續(xù)（跟蹤）審計(jì)

5.審計(jì)質(zhì)量管理和評(píng)估

二．商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)方法和技術(shù)

1.審計(jì)方法

訪談

核查

測(cè)試

評(píng)估

2.審計(jì)技術(shù)

檢查技術(shù)

識(shí)別和分析技術(shù)

漏洞驗(yàn)證技術(shù)

第三天 商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)實(shí)踐

模塊五 商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)項(xiàng)目案例研討

1.信息科技風(fēng)險(xiǎn)管理審計(jì)項(xiàng)目（金融監(jiān)管總局）

2.重要信息系統(tǒng)投產(chǎn)及變更審計(jì)項(xiàng)目（金融監(jiān)管總局）

3.數(shù)據(jù)中心審計(jì)項(xiàng)目（金融監(jiān)管總局）

4.業(yè)務(wù)連續(xù)性管理審計(jì)項(xiàng)目（金融監(jiān)管總局）

5.信息科技外包風(fēng)險(xiǎn)管理審計(jì)項(xiàng)目（金融監(jiān)管總局）

6.其它IT專項(xiàng)審計(jì)（網(wǎng)絡(luò)（信息）安全審計(jì)）項(xiàng)目

網(wǎng)絡(luò)安全等級(jí)保護(hù)/關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)審計(jì)

ISO/IEC 27001信息安全管理體系審計(jì)

ISO 22301業(yè)務(wù)連續(xù)性管理體系審計(jì)

7.A+H上市公司IT內(nèi)控審計(jì)項(xiàng)目

模塊六 商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)項(xiàng)目展望

1.個(gè)人金融信息保護(hù)審計(jì)項(xiàng)目（人民銀行、金融監(jiān)管總局）

2.金融科技應(yīng)用風(fēng)險(xiǎn)審計(jì)項(xiàng)目（人民銀行）

3.數(shù)據(jù)治理審計(jì)（金融監(jiān)管總局）

4.數(shù)據(jù)安全治理和管理審計(jì)（人民銀行、金融監(jiān)管總局）

5.自主定義審計(jì)項(xiàng)目

6.商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)重點(diǎn)、難點(diǎn)和痛點(diǎn)

馬老師

馬慶

常駐地：北京

專業(yè)認(rèn)證

1.注冊(cè)信息系統(tǒng)審計(jì)師（CISA，Certified Information System Auditor），2002年，ISACA

2.注冊(cè)內(nèi)部審計(jì)師（CIA，Certified Internal Auditor），2003年，IIA

3.注冊(cè)控制自我評(píng)估師（CCSA, Certification in Control Self-Assessment），2003年，IIA

4.特許金融分析師（CFA，Chartered Financial Analyst)二級(jí)考試，2005年，CFA Institute

5.注冊(cè)業(yè)務(wù)持續(xù)性專家（CBCP，Certified Business Continuity Professional），2011年，DRII

6.網(wǎng)絡(luò)安全認(rèn)證（Security+），2011年，CompTIA

7.ISO22301業(yè)務(wù)連續(xù)性管理體系主任執(zhí)行師（ISO 22301 BCMS Lead Implementer），2013年，PECB

8.ISO27001信息安全管理體系主任審計(jì)師（ISO/IEC 27001 ISMS Lead Auditor），2013年，PECB

講師資質(zhì)

1.國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT網(wǎng)絡(luò)安全能力認(rèn)證培訓(xùn)講師

2.中國(guó)信息安全測(cè)評(píng)中心CISP信息安全培訓(xùn)講師-注冊(cè)信息安全培訓(xùn)講師CISI。

3.中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心信息系統(tǒng)審計(jì)師ISA 課程設(shè)計(jì)師，培訓(xùn)講師。

4.中國(guó)通信企業(yè)協(xié)會(huì)網(wǎng)絡(luò)安全人員能力認(rèn)證講師。

5.中國(guó)銀行業(yè)協(xié)會(huì)東方銀行業(yè)高級(jí)管理人員研修院商業(yè)銀行業(yè)務(wù)連續(xù)性管理專家講師。

6.中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)信息科技審計(jì)分會(huì)業(yè)務(wù)連續(xù)性管理、信息科技外包風(fēng)險(xiǎn)管理、信息科技審計(jì)等專家?guī)鞂＜遥瑢＜抑v師。

7.中治研（北京）國(guó)際信息技術(shù)研究院高級(jí)研究員，中治智庫(kù)專家?guī)鞂＜遥瑢＜抑v師，《中國(guó)IT治理.價(jià)值叢書》編委會(huì)委員。

8.云安全聯(lián)盟CSA云安全授權(quán)講師，課程包括：CCSMP（國(guó)際注冊(cè)云安全管理認(rèn)證專家）、CCSSP（國(guó)際注冊(cè)云安全系統(tǒng)認(rèn)證專家）。

9.國(guó)際災(zāi)難恢復(fù)（中國(guó)）協(xié)會(huì)（DRI China）技術(shù)委員會(huì)（DRICTC）委員（2011--2014），專業(yè)講師資質(zhì)認(rèn)證（TCBC），課程包括：注冊(cè)業(yè)務(wù)持續(xù)性專家（CBCP）。

10.職業(yè)評(píng)價(jià)和認(rèn)證委員會(huì)Professional Evaluation and Certification Board（PECB）專業(yè)講師資質(zhì)認(rèn)證（PECB CERTIFIED TRAINER），課程包括：ISO 27001 Foundation，ISO/IEC 27001LA和ISO/IEC 27001LI；ISO 22301 Foundation，ISO 22301 LA和ISO 22301 LI。

11.美國(guó)培訓(xùn)認(rèn)證協(xié)會(huì)（AACTP）國(guó)際認(rèn)證培訓(xùn)師（ICT，International Certificated Trainer）。

12.中國(guó)電子勞動(dòng)學(xué)會(huì)數(shù)字素養(yǎng)與技能提升人才培養(yǎng)工程智庫(kù)專家

13.中國(guó)電力企業(yè)聯(lián)合會(huì)科技開發(fā)服務(wù)中心/中國(guó)電力技術(shù)市場(chǎng)協(xié)會(huì)專家?guī)鞂＜摇?/p>

14.中國(guó)通信工業(yè)協(xié)會(huì)信息安全分會(huì)專家?guī)鞂＜摇?/p>

15.中國(guó)國(guó)際航空公司信息管理部專家?guī)鞂＜摇?/p>

行業(yè)經(jīng)驗(yàn)

馬慶在信息系統(tǒng)審計(jì)、信息科技風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性管理和網(wǎng)絡(luò)信息安全管理領(lǐng)域擁有34年的實(shí)施、咨詢經(jīng)驗(yàn)，在技術(shù)管理方面具有豐富知識(shí)和經(jīng)驗(yàn)，通曉電信運(yùn)營(yíng)商、金融行業(yè)信息系統(tǒng)軟件、硬件、開發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全，熟悉業(yè)務(wù)運(yùn)營(yíng)管理的核心，能夠利用信息系統(tǒng)審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。

專業(yè)著作

在國(guó)家會(huì)計(jì)學(xué)院《中國(guó)會(huì)計(jì)視野》，《中國(guó)計(jì)算機(jī)用戶》，《計(jì)算機(jī)產(chǎn)品與流通》等發(fā)表多篇信息系統(tǒng)審計(jì)實(shí)踐文章；在《計(jì)算機(jī)世界》，《中國(guó)計(jì)算機(jī)報(bào)》，《互聯(lián)網(wǎng)周刊》，《每周電腦報(bào)》，《信息安全》等發(fā)表多篇信息系統(tǒng)安全，商務(wù)智能文章，中國(guó)最早最大的信息系統(tǒng)審計(jì)論壇（www.itpub.net的“信息安全與審計(jì)”）的資深斑竹“cisamaqing”。

馬慶同時(shí)是一位專業(yè)講師，為電信、金融、政府和公用事業(yè)、企業(yè)以及行業(yè)協(xié)會(huì)等提供下列領(lǐng)域培訓(xùn)服務(wù)：

1. 信息化規(guī)劃、績(jī)效評(píng)價(jià)、運(yùn)營(yíng)管理；

2. 內(nèi)部控制，內(nèi)部審計(jì)，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理，控制/風(fēng)險(xiǎn)自我評(píng)估（CSA），COSO，Sarbanes & Oxley Act；

3. 信息系統(tǒng)審計(jì)和控制，CISA認(rèn)證，CISM認(rèn)證，CRISC認(rèn)證，CGEIT認(rèn)證，COBIT 5/COBIT2019認(rèn)證；

4. 金融行業(yè)、電信運(yùn)營(yíng)商、企業(yè)級(jí)網(wǎng)絡(luò)性能管理，信息安全管理，網(wǎng)絡(luò)安全等級(jí)保護(hù)/關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，CISP認(rèn)證，CISSP認(rèn)證，CCSP認(rèn)證，云安全CSA認(rèn)證，ISO27001LA認(rèn)證；

5. 業(yè)務(wù)連續(xù)性（BCP） ，災(zāi)難恢復(fù)（DRP），CBCP認(rèn)證，ISO 22301 Foundation，ISO22031LA和ISO22301LI認(rèn)證。

我要預(yù)訂

咨詢電話：027-5111 9925 , 027-5111 9926手機(jī)：18971071887郵箱：Service@mingketang.com