本書通過對商業銀行信息系統研發風險的定義、成因、分類和問題的分析研究,提出了商業銀行開展信息系統研發風險管控的理論依據、實踐方法和實踐過程。全書分為基礎篇、管理篇和技術篇。基礎篇主要闡述商業銀行信息系統研發風險的概念、法規、政策與相關標準;管理篇主要闡述商業銀行信息系統研發風險管控模型、管控體系、管控方法、實踐案例等內容;技術篇主要介紹信息系統安全開發的策略、方法和相關技術。
這套《銀行業信息化叢書》致力于挖掘、研究、總結、提煉和傳播國內外信息化**實踐、寶貴經驗和**成果,內容涵蓋銀行業信息科技治理與管理、信息系統開發與應用創新、信息安全、基礎設施與運行維護、信息科技監管等主要領域,將為銀行業信息科技人才培養提供一些基礎性、前瞻性、實用性的知識和信息。
作者為中國農業銀行股份有限公司研究信息系統研發風險管控的技術專家。
總序
序
前言
基礎篇
第1章商業銀行信息系統研發風險管控基礎知識2
1.1信息系統研發風險管控概述2
1.1.1信息系統和信息系統研發2
1.1.2信息系統研發風險6
1.1.3信息系統研發風險與其他相關領域的關系7
1.1.4信息系統研發風險管控13
1.2商業銀行信息系統研發風險管控概述15
1.2.1商業銀行的主要業務和信息系統15
1.2.2商業銀行信息系統研發風險22
1.2.3商業銀行研發風險在全面風險管理體系中的位置23
1.2.4商業銀行研發風險管控策略30
第2章商業銀行研發風險管控相關法規、政策與標準34
2.1信息安全相關法律法規34
2.1.1世界各國信息安全立法的發展34
2.1.2我國信息安全法律法規體系36
2.1.3我國主要法律法規簡介39
2.2商業銀行研發風險管控相關政策和指引42
2.2.1商業銀行研發風險監管現狀概述42
2.2.2主要監管政策和指引45
2.3商業銀行研發風險管控相關信息安全標準49
2.3.1信息安全標準的基本概念49
2.3.2信息安全標準化概述51
2.3.3主要信息安全標準介紹54
管理篇
第3章商業銀行研發風險管控理論和模型63
3.1研發風險管控相關理論和模型63
3.1.1安全開發生命周期63
3.1.2軟件安全接觸點65
3.1.3綜合輕量級應用安全過程67
3.1.4軟件保證成熟度69
3.1.5軟件安全框架70
3.1.6BSI成熟模型71
3.1.7信息安全保障72
3.2商業銀行研發風險管控模型74
3.2.1商業銀行研發風險管控模型的設計74
3.2.2商業銀行研發風險管控模型的內容76
3.2.3商業銀行研發風險管控模型的特點77
第4章商業銀行研發風險管控體系78
4.1商業銀行研發風險管控體系建設78
4.1.1商業銀行研發風險管控體系建設思路78
4.1.2商業銀行研發風險管控體系總體架構79
4.1.3商業銀行研發風險管控體系運行機制80
4.2商業銀行研發風險管控組織體系81
4.2.1商業銀行研發風險管控組織體系概述81
4.2.2商業銀行研發風險管控組織體系建設82
4.3商業銀行研發風險管控制度體系84
4.3.1商業銀行研發風險管控制度體系概述84
4.3.2商業銀行研發風險管控制度體系建設85
4.4商業銀行研發風險管控標準體系86
4.4.1安全定級指南87
4.4.2安全需求指南90
4.4.3安全設計指南93
4.4.4安全編碼規范95
4.5安全技術支持服務體系98
第5章商業銀行研發風險管控工作流程102
5.1立項階段研發風險管控工作流程104
5.2計劃階段研發風險管控工作流程104
5.2.1安全團隊建設105
5.2.2安全培訓105
5.2.3安全管理計劃制訂106
5.3需求階段研發風險管控工作流程106
5.3.1安全需求制定107
5.3.2安全需求評審107
5.4設計階段研發風險管控工作流程107
5.4.1安全設計108
5.4.2安全設計評審108
5.5編碼階段研發風險管控工作流程109
5.5.1源代碼安全審核109
5.5.2安全需求實現審核109
5.6測試階段研發風險管控工作流程110
5.6.1安全測試111
5.6.2滲透測試111
5.7投產運維階段研發風險管控工作流程112
第6章商業銀行研發風險管控工作方法113
6.1安全培訓113
6.1.1安全培訓概述113
6.1.2安全培訓體系114
6.1.3安全培訓的實施116
6.2安全評審116
6.2.1安全評審概述116
6.2.2安全評審的內容117
6.2.3安全評審的方法118
6.3風險評估118
6.3.1風險評估的概念118
6.3.2風險評估的方法120
6.3.3風險評估的工具124
6.3.4風險評估的實施124
6.4安全后評價127
6.4.1安全后評價概述127
6.4.2安全后評價的要素127
6.4.3安全后評價的實施128
第7章商業銀行研發外包風險管控131
7.1商業銀行研發外包風險概述131
7.1.1IT外包的基本概念131
7.1.2商業銀行IT外包風險概述133
7.1.3商業銀行研發外包風險135
7.2商業銀行研發外包風險管控措施135
7.2.1商業銀行研發外包風險管控相關監管要求135
7.2.2商業銀行研發外包風險管控工作方法136
第8章商業銀行研發風險管控案例140
8.1商業銀行研發風險管控項目案例140
8.1.1項目背景140
8.1.2項目研發風險管控工作實施情況141
8.2商業銀行研發外包風險管控項目案例145
8.2.1項目背景145
8.2.2項目研發外包風險管控工作實施情況146
技術篇
第9章信息系統安全研發策略和方法150
9.1安全研發策略和原則150
9.1.1安全研發策略150
9.1.2安全設計原則151
9.2威脅建模154
9.2.1威脅建模的定義154
9.2.2威脅建模的對象154
9.2.3威脅建模的過程155
9.3攻擊面最小化分析157
9.3.1攻擊面最小化分析的概念157
9.3.2攻擊面最小化分析過程158
9.4安全架構和組件159
9.4.1安全架構159
9.4.2安全組件160
9.5源代碼安全審核163
9.5.1源代碼安全審核的概念163
9.5.2源代碼安全審核原理163
9.5.3源代碼安全審核工具164
9.6滲透測試165
9.6.1滲透測試的概念165
9.6.2滲透測試步驟與方法166
第10章信息系統安全研發技術168
10.1身份認證169
10.1.1身份認證的基本概念169
10.1.2身份認證模式的分類169
10.1.3身份認證技術171
10.2訪問控制174
10.2.1訪問控制概述174
10.2.2訪問控制策略175
10.2.3訪問控制模型176
10.3安全審計179
10.3.1安全審計概述179
10.3.2安全審計的內容180
10.3.3安全審計的實施180
10.4密碼技術181
10.4.1密碼技術概述181
10.4.2加密算法概述184
10.4.3密碼技術應用185
10.5網絡安全188
10.5.1網絡安全基礎188
10.5.2網絡安全協議191
10.5.3常見網絡安全威脅194
10.5.4常見網絡安全技術198
10.6漏洞防護207
10.6.1安全漏洞的概念208
10.6.2安全漏洞的分類和分級209
10.6.3常見安全漏洞及防護210
10.7操作系統安全220
10.7.1操作系統概述220
10.7.2操作系統安全概述222
10.7.3操作系統安全的實現223
10.8數據庫系統安全225
10.8.1數據庫系統概述225
10.8.2數據庫系統安全概述228
10.8.3數據庫系統安全的實現230
10.9數據安全234
10.9.1數據安全的概念234
10.9.2數據安全保護措施236
10.10其他安全技術238
10.10.1互聯網金融安全238
10.10.2大數據安全242
10.10.3云計算安全246
10.10.4物聯網安全251
參考文獻257
(6)商業銀行內部控制指引2014年9月12日,銀監會發布了修訂后的《商業銀行內部控制指引》。修訂后的《商業銀行內部控制指引》主要從內控評價、內控監督、監管約束、監管引領四個方面,來引導商業銀行強化內控管理。
《商業銀行內部控制指引》強調,內部控制是商業銀行董事會、監事會、高級管理層和全體員工參與的,通過制定和實施系統化的制度、流程和方法,實現控制目標的動態過程和機制。此外,規范了內部控制的治理和組織架構,明確了董事會、監事會、高級管理層、內控管理職能部門、內部審計部門、業務部門等各主體關于內部控制的職責分工。
在信息科技方面,《商業銀行內部控制指引》要求商業銀行應當加強對信息的安全控制和保密管理,對各類信息實施分等級的安全管理,對信息系統訪問實施權限管理,確保信息安全。
(7)電子銀行安全評估指引2006年,銀監會發布《電子銀行業務管理辦法》和《電子銀行安全評估指引》。指引所指的電子銀行包括兩部分:網上銀行、電話銀行和手機銀行;其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務,包括自助銀行、ATM機等。
新書資訊