商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控

總序序前言基礎(chǔ)篇第1章商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控基礎(chǔ)知識(shí)21.1信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控概述21.1.1信息系統(tǒng)和信息系統(tǒng)研發(fā)21.1.2信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)61.1.3信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)與其他相關(guān)領(lǐng)域的關(guān)系71.1.4信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控131.2商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控概述151.2.1商業(yè)銀行的主要業(yè)務(wù)和信息系統(tǒng)151.2.2商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險(xiǎn)221.2.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)在全面風(fēng)險(xiǎn)管理體系中的位置231.2.4商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控策略30第2章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控相關(guān)法規(guī)、政策與標(biāo)準(zhǔn)342.1信息安全相關(guān)法律法規(guī)342.1.1世界各國(guó)信息安全立法的發(fā)展342.1.2我國(guó)信息安全法律法規(guī)體系362.1.3我國(guó)主要法律法規(guī)簡(jiǎn)介392.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控相關(guān)政策和指引422.2.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)監(jiān)管現(xiàn)狀概述422.2.2主要監(jiān)管政策和指引452.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控相關(guān)信息安全標(biāo)準(zhǔn)492.3.1信息安全標(biāo)準(zhǔn)的基本概念492.3.2信息安全標(biāo)準(zhǔn)化概述512.3.3主要信息安全標(biāo)準(zhǔn)介紹54管理篇第3章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控理論和模型633.1研發(fā)風(fēng)險(xiǎn)管控相關(guān)理論和模型633.1.1安全開發(fā)生命周期633.1.2軟件安全接觸點(diǎn)653.1.3綜合輕量級(jí)應(yīng)用安全過(guò)程673.1.4軟件保證成熟度693.1.5軟件安全框架703.1.6BSI成熟模型713.1.7信息安全保障723.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型743.2.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型的設(shè)計(jì)743.2.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型的內(nèi)容763.2.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控模型的特點(diǎn)77第4章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系784.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系建設(shè)784.1.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系建設(shè)思路784.1.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系總體架構(gòu)794.1.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控體系運(yùn)行機(jī)制804.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控組織體系814.2.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控組織體系概述814.2.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控組織體系建設(shè)824.3商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控制度體系844.3.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控制度體系概述844.3.2商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控制度體系建設(shè)854.4商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)體系864.4.1安全定級(jí)指南874.4.2安全需求指南904.4.3安全設(shè)計(jì)指南934.4.4安全編碼規(guī)范954.5安全技術(shù)支持服務(wù)體系98第5章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控工作流程1025.1立項(xiàng)階段研發(fā)風(fēng)險(xiǎn)管控工作流程1045.2計(jì)劃階段研發(fā)風(fēng)險(xiǎn)管控工作流程1045.2.1安全團(tuán)隊(duì)建設(shè)1055.2.2安全培訓(xùn)1055.2.3安全管理計(jì)劃制訂1065.3需求階段研發(fā)風(fēng)險(xiǎn)管控工作流程1065.3.1安全需求制定1075.3.2安全需求評(píng)審1075.4設(shè)計(jì)階段研發(fā)風(fēng)險(xiǎn)管控工作流程1075.4.1安全設(shè)計(jì)1085.4.2安全設(shè)計(jì)評(píng)審1085.5編碼階段研發(fā)風(fēng)險(xiǎn)管控工作流程1095.5.1源代碼安全審核1095.5.2安全需求實(shí)現(xiàn)審核1095.6測(cè)試階段研發(fā)風(fēng)險(xiǎn)管控工作流程1105.6.1安全測(cè)試1115.6.2滲透測(cè)試1115.7投產(chǎn)運(yùn)維階段研發(fā)風(fēng)險(xiǎn)管控工作流程112第6章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控工作方法1136.1安全培訓(xùn)1136.1.1安全培訓(xùn)概述1136.1.2安全培訓(xùn)體系1146.1.3安全培訓(xùn)的實(shí)施1166.2安全評(píng)審1166.2.1安全評(píng)審概述1166.2.2安全評(píng)審的內(nèi)容1176.2.3安全評(píng)審的方法1186.3風(fēng)險(xiǎn)評(píng)估1186.3.1風(fēng)險(xiǎn)評(píng)估的概念1186.3.2風(fēng)險(xiǎn)評(píng)估的方法1206.3.3風(fēng)險(xiǎn)評(píng)估的工具1246.3.4風(fēng)險(xiǎn)評(píng)估的實(shí)施1246.4安全后評(píng)價(jià)1276.4.1安全后評(píng)價(jià)概述1276.4.2安全后評(píng)價(jià)的要素1276.4.3安全后評(píng)價(jià)的實(shí)施128第7章商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控1317.1商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)概述1317.1.1IT外包的基本概念1317.1.2商業(yè)銀行IT外包風(fēng)險(xiǎn)概述1337.1.3商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)1357.2商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控措施1357.2.1商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控相關(guān)監(jiān)管要求1357.2.2商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控工作方法136第8章商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控案例1408.1商業(yè)銀行研發(fā)風(fēng)險(xiǎn)管控項(xiàng)目案例1408.1.1項(xiàng)目背景1408.1.2項(xiàng)目研發(fā)風(fēng)險(xiǎn)管控工作實(shí)施情況1418.2商業(yè)銀行研發(fā)外包風(fēng)險(xiǎn)管控項(xiàng)目案例1458.2.1項(xiàng)目背景1458.2.2項(xiàng)目研發(fā)外包風(fēng)險(xiǎn)管控工作實(shí)施情況146技術(shù)篇第9章信息系統(tǒng)安全研發(fā)策略和方法1509.1安全研發(fā)策略和原則1509.1.1安全研發(fā)策略1509.1.2安全設(shè)計(jì)原則1519.2威脅建模1549.2.1威脅建模的定義1549.2.2威脅建模的對(duì)象1549.2.3威脅建模的過(guò)程1559.3攻擊面*小化分析1579.3.1攻擊面*小化分析的概念1579.3.2攻擊面*小化分析過(guò)程1589.4安全架構(gòu)和組件1599.4.1安全架構(gòu)1599.4.2安全組件1609.5源代碼安全審核1639.5.1源代碼安全審核的概念1639.5.2源代碼安全審核原理1639.5.3源代碼安全審核工具1649.6滲透測(cè)試1659.6.1滲透測(cè)試的概念1659.6.2滲透測(cè)試步驟與方法166第10章信息系統(tǒng)安全研發(fā)技術(shù)16810.1身份認(rèn)證16910.1.1身份認(rèn)證的基本概念16910.1.2身份認(rèn)證模式的分類16910.1.3身份認(rèn)證技術(shù)17110.2訪問控制17410.2.1訪問控制概述17410.2.2訪問控制策略17510.2.3訪問控制模型17610.3安全審計(jì)17910.3.1安全審計(jì)概述17910.3.2安全審計(jì)的內(nèi)容18010.3.3安全審計(jì)的實(shí)施18010.4密碼技術(shù)18110.4.1密碼技術(shù)概述18110.4.2加密算法概述18410.4.3密碼技術(shù)應(yīng)用18510.5網(wǎng)絡(luò)安全18810.5.1網(wǎng)絡(luò)安全基礎(chǔ)18810.5.2網(wǎng)絡(luò)安全協(xié)議19110.5.3常見網(wǎng)絡(luò)安全威脅19410.5.4常見網(wǎng)絡(luò)安全技術(shù)19810.6漏洞防護(hù)20710.6.1安全漏洞的概念20810.6.2安全漏洞的分類和分級(jí)20910.6.3常見安全漏洞及防護(hù)21010.7操作系統(tǒng)安全22010.7.1操作系統(tǒng)概述22010.7.2操作系統(tǒng)安全概述22210.7.3操作系統(tǒng)安全的實(shí)現(xiàn)22310.8數(shù)據(jù)庫(kù)系統(tǒng)安全22510.8.1數(shù)據(jù)庫(kù)系統(tǒng)概述22510.8.2數(shù)據(jù)庫(kù)系統(tǒng)安全概述22810.8.3數(shù)據(jù)庫(kù)系統(tǒng)安全的實(shí)現(xiàn)23010.9數(shù)據(jù)安全23410.9.1數(shù)據(jù)安全的概念23410.9.2數(shù)據(jù)安全保護(hù)措施23610.10其他安全技術(shù)23810.10.1互聯(lián)網(wǎng)金融安全23810.10.2大數(shù)據(jù)安全24210.10.3云計(jì)算安全24610.10.4物聯(lián)網(wǎng)安全251參考文獻(xiàn)257