网络风险课程大纲及培训师资

课程大纲及培训师资

一、网络风险的含义以及信息科技如何为金融公司带来机遇和挑战
（一）金融服务中的网络风险
1、网络风险定义

2、这些年发生的网络风险事件

（1）2018-2019北美信息安全事故回顾

（2）美国最大的医疗保险数据泄露事件深度解析

3、金融服务行业为应对网络风险做出的努力  

（1）美国银行网络安全管理框架解读    

（2）加拿大金融机构网络安全组织架构

（3）道德黑客与网络红队的兴起

（4） 加拿大“黑五”渗透测试案例分析
（二）网络风险≠网络安全
1、网络安全究竟是做什么的？

（1）网络安全的定义

（2）网络安全的技术路径

2、美国白宫联邦网络安全报告解读

（1）联邦网络安全报告框架解读

（2）关键网络安全要点解析
3、如何正确理解网络风险与网络安全之间的区别与联？

（1）网络风险范围
4、为什么我们越来越关注网络风险？

（1）从岗位设置看网络风险发展（以TD BANK为例）

（2）从监管和评级看网络风险
（三）网络技术带来的机遇与挑战

1、新的工作方式带来的机遇和挑战（BYOD）

（1）BYOD在北美的应用现状

（2）BYOD带来的隐私保护与信息安全冲突

（3）BYOD的网络安全十诫
2、大数据

（1）大数据应用特征解读

（2）大数据应用安全分析

（3）大数据安全的应对手段
3、云计算

（1）云计算概念与分类

（2）云计算特征与安全分析

（3）北美主流云计算产品与安全功能
4、人工智能

（1）人工智能的概念与应用

（2）人工智能在网络风险预警方面应用

（3）人工智能的风险防范

5、区块链

（1）区块链的概念解析            

（2）区块链的安全技术          

（3）区块链应用面临的安全挑战

（四）如何解决安全、效率与投入的平衡（DevSecOps）

1、如何解决信息系统安全、效率与投入的冲突

（1）如何获得管理层对网络安全预算的支持

（2）如何与业务部门商讨网络安全风险

（3）如何与技术团队讨论网络安全问题
2、什么是DevOps 和DevSecOps

（1）DevOps的定义和特点

（2）DevSecOps概念的提出

3、如何实施DevSecOps

（1）DevSecOps实施框架

（2）DevSecOps岗位与职责

（3）DevSecOps实施步骤

4、DevSecOps监控与关键指标

（1）DevSecOps监控原理

（2）DevSecOps关键指标解读

二、从监管评价的角度，如何看待网络风险对于金融服务的重要作用

（一）监管要求

1、不同国家信息安全监管要求对比
2、SOX（萨班斯法）与BaselⅢ（巴塞尔协议Ⅲ）

（1）SOX（萨班斯法案）与网络风险

（2）BaselⅢ（巴塞尔协议Ⅲ）操作风险要求

3、GDPR（欧盟通用数据保护条例）

（1）GDPR框架介绍

（2）GDPR核心保护要求

（3）如何评估企业政策流程与GDPR的差距

4、RegTech（监管科技）的兴起

（二）行业标准与最佳实践

1、北美常用行业标准与最佳实践应用分析

（1）北美常用行业标准与最佳实践介绍

（2）北美常用行业标准与最佳实践应用场景分析

2、ISO27001

（1）ISO27001系列标准框架解读

（2）ISO27001标准要点与实施

3、COBIT

（1）COBIT2019框架解读

（2）COBIT2019与COBITS差异分析

（3）COBIT安全与 COBIT风险解析
4、PCI-DSS

（1）PCI-DSS简介

（2）PCI-DSS需求与控制过程

（3）PCI-DSS合规治理方法

5、COSO

（1）COSO框架解读

（2）COSO适用范围与应用场景

6、NIST SP800

（1）SP800框架解读

（2）SP800适用范围与应用场景

7、加拿大PIPEDA

（1）PIPEDA框架解读

（2）PIPEDA实施案例解析

三、如何管理网络风险以及减少网络风险给公司、客户、监管评价和市场信用评级带来的负面影响。

（一）建立网络风险管理框架
1、风险管理的利益相关者

（1）什么是利益相关者

（2）如何识别利益相关者

（3）如何建立与利益相关者的沟通机制
2、风险管理的职责划分

（1）风险管理的职责定义

（2）风险管理岗位的识别与划分

（3）网络风险管理中的不相容岗位识别
3、资产的识别与风险损失计量

（1）数据资产的范围和定义

（2）数据资产的重要性与优先级

（3）数据资产的价值和风险损失计量

（4）如何评价信息系统价值

4、风险管理政策与流程

（1）风险管理的政策框架设计

（2）风险管理的流程编制与维护

（3）员工风险意识培训方法与自动化工具

（二）如何开展风险评估和风险识别

1、如何制定风险评估计划？

2、谁来执行风险评估，内部还是外部审计？

3、风险评估的方法和工具

（1）风险评估自动化工具原理

（2）两款常用的SIEM工具Qrada和Splunk 

（3）北美威胁情报分析的发展现状

（三）网络风险应对与缓释
1、是不是所有的风险都需要处置？

（1）风险处置的一般原则      

（2）风险处置的成本与效益平衡

（3）风险处置过程中需要特别考虑的因素
2、如何看待风险的潜在影响和损失？
3、风险应对的方法和成本考虑
4、网络安全保险，一个好的风险管理备份手段

（1）主要保险公司的网络安全保险特点

（2）北美网络安全保险案例分析

（四）课程总结

1、中美网络风险管理差异

（1）岗位与职责

（2）文化与员工风险意识培训

（3）安全预算与项目管理

（4）技术发展路径与工具化手段

 

 

 

 

 

 

 

 

 

 

 

 

 

 

汤阳博士
国际网络安全及网络风险管理专家

 

汤阳博士拥有计算机科学博士学位，微软认证系统工程师（MCSE），北美信息安全专家（CISSP），中国信息安全专家（CISP）等认证。

现为北美某保险科技及区块链公司创始人及网络安全总监，北美金融科技领域的信息安全专家和咨询顾问，为各类金融科技公司提供咨询服务，包括IT 网络安全（Network Security）和宏观网络安全及网络风险管理（Cyber Security & Cyber Risk Management）。曾在中国建设银行工作近20年，负责网络安全工作，是为数不多的在传统金融和金融科技领域均具备丰富经验且颇有建树的安全专家。

作为信息安全专家，他在企业信息安全的各个专业领域具有丰富的实践经验，包括 IT 内控与合规，数据安全、开发安全、运营安全、网络安全、物理环境安全、风险评估、安全监控和安全事件应急响应等。熟悉美国银行及加拿大主要银行的信息安全管理实践。

作为金融科技治理专家，他熟悉国际主流信息科技治理和信息安全标准，曾作为国际信息系统审计协会（ISACA）特邀专家参与 COBIT5 中文版的翻译工作，并参与编写 ISACA 信息科技治理最佳实践。

在信息科技风险监管研究方面，他关注各国金融科技风险的监管和评价，对世界主要国家信息安全监管保护要求开展过深入研究，原中国银监会《银行业金融机构信息科技监管研究》编写组成员。