金融机构网络（信息）安全治理实践培训

我要预订

咨询电话：027-5111 9925 , 027-5111 9926手机：18971071887邮箱：Service@mingketang.com

课程大纲

模块一 金融机构网络（信息）安全监管要求与政策解读

一．中国人民银行和国家金融监督管理总局监管要求

中国人民银行

《关于加强银行数据集中安全工作的指导意见》（银发[2002]260号）

《银行计算机安全事件报告管理制度》（银发[2002]280号）

《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》（银发[2006]123号）

《金融业信息安全协调工作预案》（银发[2010] 250号）

《金融服务 信息安全指南》（GB/T 27910-2011）

《中国人民银行关于进一步做好银行业金融机构重大事项报告有关工作的通知》（银发[2011]23号）

JR/T 0073-2012 金融行业信息安全等级保护测评服务安全指引

《移动金融客户端应用软件安全管理规范》（JR/T 0092—2019）《发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（银发〔2019〕237号）

《网上银行系统信息安全通用规范》（JR/T 0068—2020）

《商业银行应用程序接口安全管理规范》（JRT 0185-2020）《中国人民银行关于发布金融行业标准加强商业银行应用程序接口安全管理的通知》（银发〔2020〕44号）

《个人金融信息保护技术规范》（JR/T 0171—2020）《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》（银发〔2020〕45号）

《关于开展金融科技应用风险专项摸排工作的通知》（银办发〔2020〕45号）

JR/T 0071-2020 金融行业网络安全等级保护实施指引

JR/T 0072-2020 金融行业网络安全等级保护测评指南

JR/T 0197-2020 金融数据安全 数据安全分级指南

JR/T 0223-2021 金融数据安全 数据生命周期安全规范

金融数据安全 数据安全评估规范（征求意见稿）

《中国人民银行业务领域数据安全管理办法》（征求意见稿）

国家金融监督管理总局（原银保监会、原银监会、原保监会）

《银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》（银监办发[2016]107号）

《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》（银监办发[2017]2号）

《中国银监会办公厅关于加强互联网业务系统交易安全风险防范的通知》（银监办发[2018]20号）

《中国银行保险监督管理委员会办公厅关于加强无线网络安全管理的通知》（银保监办发[2018]50号）

《中国银保监会办公厅关于银行机构网络安全漏洞引发虚假账户风险的通报》（银保监办发[2019]94号）

《中国银保监会办公厅关于开展银行业和保险业网络安全专项治理工作的通知》（银监办发[2019]129号）

《银行业从业人员职业操守和行为准则》（银协发〔2020〕120号）

《中国银保监会监管数据安全管理办法（试行）》（银保监发[2020]43号）

《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（银保监办法〔2022〕80号）

《银行保险机构消费者权益保护管理办法》 （中国银行保险监督管理委员会令2022年第9号）

《关于加强第三方合作中网络和数据安全管理的通知》（金办便函[2023]44号）

《关于系统未授权查询漏洞导致客户泄露风险提示的通知》（金办便函〔2023〕542号）

《银行保险机构操作风险管理办法》（国家金融监督管理总局令2023年第5号）

《银行保险机构数据安全管理办法（公开征求意见稿）》

《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》

二．监管政策出台背景与意图深度解读

模块二 金融机构网络（信息）安全风险形势和案例分析

一．金融机构网络（信息）安全风险形势

1.风险形势

2.监管罚单案由、同业现状和不足

二．金融机构网络（信息）典型案例分析

“日立存储”事件

冒用他人账号向核心业务系统植入恶意程序篡改交易状态

前置组组长写入客户信用卡磁条信息盗窃

伪基站短信钓鱼诈骗风险事件

非法补办手机卡盗划手机银行资金事件

黑客软件攻击网银事件

网络DDOS攻击事件

暴力攻击获取网银用户密码事件

非法监控ATM机，盗取客户信息及资金事件

不法分子截取修改自助设备传输数据虚增存款事件

视频监控系统存在安全隐患

外包网络安全风险事件多个案例

个人信息安全风险事件多个案例

个人II、III 类开户系统存在安全漏洞事件多个案例

监管关注的网络安全事件总结

模块三 金融机构网络（信息）的自身特征与网络（信息）安全治理和管理实施重点

一．网络安全风险特点

二．信息科技风险定义、分类和监管视角的信息科技风险-信息安全（网络安全、信息安全、数据安全、个人金融信息安全）

三．金融机构信息安全治理和管理的含义

四．基于合规VS基于业务的网络（信息）安全

五．网络（信息）安全风险管理三道防线分工和协作

模块四 网络（信息）安全法律、行政法规、部门规章和政策

国家安全法

网络安全法

密码法

电子签名法

数据安全法

个人信息保护法

反电信网络诈骗法

关键信息基础设施安全保护条例

网络安全等级保护条例（征求意见稿）

中办、国办

中央网信办、公安部、国家保密局、国家密码管理局、财政部、审计署、国资委、工信部等部门规章和政策

监管政策出台背景与意图深度解读

模块五 网络安全等级保护标准解读

JR/T 0071-2020 金融行业网络安全等级保护实施指引

JR/T 0072-2020 金融行业网络安全等级保护测评指南

一．基本要求

安全管理要求

安全管理制度

安全管理机构

安全管理人员

安全建设管理

安全运维管理

安全技术要求

安全物理环境

安全通信网络

安全区域边界

安全计算环境

安全管理中心

二．扩展要求

云计算安全扩展要求

移动互联安全扩展要求

物联网安全扩展要求

三．金融行业增强性安全要求（F类）

标准出台背景与意图深度解读

模块六 网络（信息）安全治理和管理实践

一、网络安全治理

1.企业治理（公司治理）、IT治理、网络安全治理

2.网络安全风险管理的三道防线

二、网络安全管理

1.网络安全管理制度

2.网络安全管理组织

3.网络安全方针和策略

4.网络安全规划

5.网络安全基线

（1）开发技术规范、运维技术规范

（2）网络安全技术规范

6.网络安全度量和绩效

7.网络安全投资回报

三、网络安全监控和应急处置

1.安全运营中心（SOC）和大数据安全平台

（1）勒索软件、钓鱼邮件、DDOS攻击

（2）高级持续性威胁APT

（3）威胁情报和态势感知

（4）漏洞管理

2.渗透测试和CTF

（1）红蓝对抗和信息安全实验室

（2）未知攻，焉知守 VS 已知攻，焉知守

（3）护网和重保

3.从安全运维到安全运营

模块七 网络（信息）安全技术实践

一、密码技术和密钥管理

二、身份认证和集中授权

三、网络和通讯安全

四、主机系统安全

五、终端安全

六、软件安全（开源软件、软件供应链安全）

七、数据安全

八、存储安全

九、业务安全

十、信息技术应用创新（信创）

十一、金融科技和网络安全

马老师

马庆

常驻地：北京

专业认证

1.注册信息系统审计师（CISA，Certified Information System Auditor），2002年，ISACA

2.注册内部审计师（CIA，Certified Internal Auditor），2003年，IIA

3.注册控制自我评估师（CCSA, Certification in Control Self-Assessment），2003年，IIA

4.特许金融分析师（CFA，Chartered Financial Analyst)二级考试，2005年，CFA Institute

5.注册业务持续性专家（CBCP，Certified Business Continuity Professional），2011年，DRII

6.网络安全认证（Security+），2011年，CompTIA

7.ISO22301业务连续性管理体系主任执行师（ISO 22301 BCMS Lead Implementer），2013年，PECB

8.ISO27001信息安全管理体系主任审计师（ISO/IEC 27001 ISMS Lead Auditor），2013年，PECB

讲师资质

1.国家互联网应急中心CNCERT网络安全能力认证培训讲师

2.中国信息安全测评中心CISP信息安全培训讲师-注册信息安全培训讲师CISI。

3.中国网络安全审查技术与认证中心信息系统审计师ISA 课程设计师，培训讲师。

4.中国通信企业协会网络安全人员能力认证讲师。

5.中国银行业协会东方银行业高级管理人员研修院商业银行业务连续性管理专家讲师。

6.中国计算机用户协会信息科技审计分会业务连续性管理、信息科技外包风险管理、信息科技审计等专家库专家，专家讲师。

7.中治研（北京）国际信息技术研究院高级研究员，中治智库专家库专家，专家讲师，《中国IT治理.价值丛书》编委会委员。

8.云安全联盟CSA云安全授权讲师，课程包括：CCSMP（国际注册云安全管理认证专家）、CCSSP（国际注册云安全系统认证专家）。

9.国际灾难恢复（中国）协会（DRI China）技术委员会（DRICTC）委员（2011--2014），专业讲师资质认证（TCBC），课程包括：注册业务持续性专家（CBCP）。

10.职业评价和认证委员会Professional Evaluation and Certification Board（PECB）专业讲师资质认证（PECB CERTIFIED TRAINER），课程包括：ISO 27001 Foundation，ISO/IEC 27001LA和ISO/IEC 27001LI；ISO 22301 Foundation，ISO 22301 LA和ISO 22301 LI。

11.美国培训认证协会（AACTP）国际认证培训师（ICT，International Certificated Trainer）。

12.中国电子劳动学会数字素养与技能提升人才培养工程智库专家

13.中国电力企业联合会科技开发服务中心/中国电力技术市场协会专家库专家。

14.中国通信工业协会信息安全分会专家库专家。

15.中国国际航空公司信息管理部专家库专家。

行业经验

马庆在信息系统审计、信息科技风险管理、业务连续性管理和网络信息安全管理领域拥有34年的实施、咨询经验，在技术管理方面具有丰富知识和经验，通晓电信运营商、金融行业信息系统软件、硬件、开发、运营、维护、管理和安全，熟悉业务运营管理的核心，能够利用信息系统审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。

专业著作

在国家会计学院《中国会计视野》，《中国计算机用户》，《计算机产品与流通》等发表多篇信息系统审计实践文章；在《计算机世界》，《中国计算机报》，《互联网周刊》，《每周电脑报》，《信息安全》等发表多篇信息系统安全，商务智能文章，中国最早最大的信息系统审计论坛（www.itpub.net的“信息安全与审计”）的资深斑竹“cisamaqing”。

马庆同时是一位专业讲师，为电信、金融、政府和公用事业、企业以及行业协会等提供下列领域培训服务：

1. 信息化规划、绩效评价、运营管理；

2. 内部控制，内部审计，风险评估和风险管理，控制/风险自我评估（CSA），COSO，Sarbanes & Oxley Act；

3. 信息系统审计和控制，CISA认证，CISM认证，CRISC认证，CGEIT认证，COBIT 5/COBIT2019认证；

4. 金融行业、电信运营商、企业级网络性能管理，信息安全管理，网络安全等级保护/关键信息基础设施安全保护，CISP认证，CISSP认证，CCSP认证，云安全CSA认证，ISO27001LA认证；

5. 业务连续性（BCP） ，灾难恢复（DRP），CBCP认证，ISO 22301 Foundation，ISO22031LA和ISO22301LI认证。

我要预订

咨询电话：027-5111 9925 , 027-5111 9926手机：18971071887邮箱：Service@mingketang.com