培训背景

业务的安全、稳定、连续运营是企业的核心要求,对抵御风险,保障声誉及实现可持续发展有着极其重要的意义；信息系统与信息科技是保障商业银行业务持续运营的重要基础。几乎所有的业务经营和管理活动都高度依赖于信息系统。信息科技风险甚至成为唯一可能使商业银行业务在瞬间全部瘫痪的重要风险。

商业银行数据大集中的完成，为银行业务带来便利的同时，也带来风险的高度集中，特别是，由于硬件故障、网络故障、电力中断、人为操作失误等问题而导致大面积、较长时间的业务中断，产生较大的社会影响，其教训引起各商业银行以及监管机构的高度重视。

为加强商业银行数据中心风险管理，保障数据中心安全、可靠、稳定运行，提高商业银行业务连续性水平，银监会2010年印发《商业银行数据中心监管指引》（银监办发[2010]114号）。该指引对数据中心风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理等方面提出明确要求，该指引是国内**个数据中心建设和管理方面的行业监管要求和规范性文件，指引的发布和实施有利于促进银行业数据中心管理和灾难恢复、业务连续管理水平的整体提升，保障业务持续高效运营。其中第三章 风险管理 **节 第十六条 明确要求：商业银行内部审计部门应至少每三年进行一次数据中心内部审计。

为有效落实国家、人行和银监会相关要求，全面理解监管政策出台背景与意图，提升数据中心风险管理，为数据中心审计项目储备相关知识，我行XX部于2022年X月X日—X日举办“数据中心审计培训”。

培训人员建议

商业银行数据中心风险管理“三道防线”，信息科技部门数据中心风险管理人员，风险管理部门信息科技风险管理人员，内部审计部门信息科技审计人员。

了解商业银行数据中心风险形势

理解商业银行数据中心审计依据

理解商业银行数据中心审计良好实践

培训目的和收益

**培训和交流，培训对象收获：

理解银行业金融机构数据中心风险管理的监管要求，监管机构要求相关管理层承担的责任；

理解推动数据中心风险管理工作可以真正消除决策层（董事会和高级管理层）、采购部门、信息科技管理部门、风险管理部门和内部审计部门间沟通的障碍，真正找准各自的定位关系，促进数据中心风险管理和商业银行风险管理融合，支持银行业务创新；

理解数据中心规划、设立、变更风险管理的要点和难点。

培训方式

知识讲解、案例分析、互动研讨。

课程大纲

模块一 商业银行数据中心风险形势和案例分析

商业银行数据中心风险形势

信息科技监管评级—数据中心和同业现状

风险形势和监管处罚

商业银行数据中心风险案例分析

系统故障引起业务中断事件案例分析

场地不可用引起业务中断案例分析

外部资源（外包商）不可用影响业务连续案例分析

商业银行数据中心风险管理概念和认识误区

数据中心风险管理概念解析

商业银行数据中心风险管理现状和不足

模块二 商业银行数据中心审计依据和依据参考解读

国家

网络安全法

网络安全等级保护

关键信息基础设施保护

人民银行

《银行业信息系统灾难恢复管理规范》（JR/T0044-2008）

《银行集中式数据中心规范》（JR/T 0011-2004）

《中国人民银行 中国银行业监督管理委员会关于调整优化银行业金融机构灾难备份中心整体布局的指导意见》（银发[2013]156号）

银保监会

《商业银行信息科技风险管理指引》（银监发[2009]19号）

《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发[2008]53号）

《银行业金融机构重要信息系统投产及变更管理办法》（银监办发[2009]437号）

《商业银行数据中心监管指引》（银监办发[2010]114号）

《商业银行业务连续性监管指引》（银监发[2011]104号）

《中国银保监会办公厅关于开展中小银行机构业务连续性相关风险整治工作的通知》（银保监办发〔2019〕221号）

国家/ISO标准和良好实践

国家标准GB/T 30146-2013《公共安全 业务连续性管理体系 要求》和ISO22301业务连续性管理标准族

DRI和BCI良好实践

模块三 商业银行数据中心审计项目管理

审计范围

审计目标

审计标准

审计计划

审计程序

审计报告

模块四 商业银行数据中心审计实践

设立与变更

风险管理

运行环境管理

运营维护管理

灾难恢复管理

外包管理

数据中心规划、设立及重大变更报告材料

数据中心审计重点、难点和痛点

时间

每模块半天3小时，模块可组合为1天，2天课程，模块内容可以根据客户需求剪裁，详细讲，概述讲。

内训案例

股份：恒丰银行

城商：中原银行、温州银行

农信：陕西省联社、山西省联社、河南省联社，佛山农商行，农信银资金清算中心

协会：中国银行业协会、人行金融电子化公司组织各银行公开课

保险：建信人寿保险