总序序前言基础篇第1章商业银行信息系统研发风险管控基础知识21.1信息系统研发风险管控概述21.1.1信息系统和信息系统研发21.1.2信息系统研发风险61.1.3信息系统研发风险与其他相关领域的关系71.1.4信息系统研发风险管控131.2商业银行信息系统研发风险管控概述151.2.1商业银行的主要业务和信息系统151.2.2商业银行信息系统研发风险221.2.3商业银行研发风险在全面风险管理体系中的位置231.2.4商业银行研发风险管控策略30第2章商业银行研发风险管控相关法规、政策与标准342.1信息安全相关法律法规342.1.1世界各国信息安全立法的发展342.1.2我国信息安全法律法规体系362.1.3我国主要法律法规简介392.2商业银行研发风险管控相关政策和指引422.2.1商业银行研发风险监管现状概述422.2.2主要监管政策和指引452.3商业银行研发风险管控相关信息安全标准492.3.1信息安全标准的基本概念492.3.2信息安全标准化概述512.3.3主要信息安全标准介绍54管理篇第3章商业银行研发风险管控理论和模型633.1研发风险管控相关理论和模型633.1.1安全开发生命周期633.1.2软件安全接触点653.1.3综合轻量级应用安全过程673.1.4软件保证成熟度693.1.5软件安全框架703.1.6BSI成熟模型713.1.7信息安全保障723.2商业银行研发风险管控模型743.2.1商业银行研发风险管控模型的设计743.2.2商业银行研发风险管控模型的内容763.2.3商业银行研发风险管控模型的特点77第4章商业银行研发风险管控体系784.1商业银行研发风险管控体系建设784.1.1商业银行研发风险管控体系建设思路784.1.2商业银行研发风险管控体系总体架构794.1.3商业银行研发风险管控体系运行机制804.2商业银行研发风险管控组织体系814.2.1商业银行研发风险管控组织体系概述814.2.2商业银行研发风险管控组织体系建设824.3商业银行研发风险管控制度体系844.3.1商业银行研发风险管控制度体系概述844.3.2商业银行研发风险管控制度体系建设854.4商业银行研发风险管控标准体系864.4.1安全定级指南874.4.2安全需求指南904.4.3安全设计指南934.4.4安全编码规范954.5安全技术支持服务体系98第5章商业银行研发风险管控工作流程1025.1立项阶段研发风险管控工作流程1045.2计划阶段研发风险管控工作流程1045.2.1安全团队建设1055.2.2安全培训1055.2.3安全管理计划制订1065.3需求阶段研发风险管控工作流程1065.3.1安全需求制定1075.3.2安全需求评审1075.4设计阶段研发风险管控工作流程1075.4.1安全设计1085.4.2安全设计评审1085.5编码阶段研发风险管控工作流程1095.5.1源代码安全审核1095.5.2安全需求实现审核1095.6测试阶段研发风险管控工作流程1105.6.1安全测试1115.6.2渗透测试1115.7投产运维阶段研发风险管控工作流程112第6章商业银行研发风险管控工作方法1136.1安全培训1136.1.1安全培训概述1136.1.2安全培训体系1146.1.3安全培训的实施1166.2安全评审1166.2.1安全评审概述1166.2.2安全评审的内容1176.2.3安全评审的方法1186.3风险评估1186.3.1风险评估的概念1186.3.2风险评估的方法1206.3.3风险评估的工具1246.3.4风险评估的实施1246.4安全后评价1276.4.1安全后评价概述1276.4.2安全后评价的要素1276.4.3安全后评价的实施128第7章商业银行研发外包风险管控1317.1商业银行研发外包风险概述1317.1.1IT外包的基本概念1317.1.2商业银行IT外包风险概述1337.1.3商业银行研发外包风险1357.2商业银行研发外包风险管控措施1357.2.1商业银行研发外包风险管控相关监管要求1357.2.2商业银行研发外包风险管控工作方法136第8章商业银行研发风险管控案例1408.1商业银行研发风险管控项目案例1408.1.1项目背景1408.1.2项目研发风险管控工作实施情况1418.2商业银行研发外包风险管控项目案例1458.2.1项目背景1458.2.2项目研发外包风险管控工作实施情况146技术篇第9章信息系统安全研发策略和方法1509.1安全研发策略和原则1509.1.1安全研发策略1509.1.2安全设计原则1519.2威胁建模1549.2.1威胁建模的定义1549.2.2威胁建模的对象1549.2.3威胁建模的过程1559.3攻击面*小化分析1579.3.1攻击面*小化分析的概念1579.3.2攻击面*小化分析过程1589.4安全架构和组件1599.4.1安全架构1599.4.2安全组件1609.5源代码安全审核1639.5.1源代码安全审核的概念1639.5.2源代码安全审核原理1639.5.3源代码安全审核工具1649.6渗透测试1659.6.1渗透测试的概念1659.6.2渗透测试步骤与方法166第10章信息系统安全研发技术16810.1身份认证16910.1.1身份认证的基本概念16910.1.2身份认证模式的分类16910.1.3身份认证技术17110.2访问控制17410.2.1访问控制概述17410.2.2访问控制策略17510.2.3访问控制模型17610.3安全审计17910.3.1安全审计概述17910.3.2安全审计的内容18010.3.3安全审计的实施18010.4密码技术18110.4.1密码技术概述18110.4.2加密算法概述18410.4.3密码技术应用18510.5网络安全18810.5.1网络安全基础18810.5.2网络安全协议19110.5.3常见网络安全威胁19410.5.4常见网络安全技术19810.6漏洞防护20710.6.1安全漏洞的概念20810.6.2安全漏洞的分类和分级20910.6.3常见安全漏洞及防护21010.7操作系统安全22010.7.1操作系统概述22010.7.2操作系统安全概述22210.7.3操作系统安全的实现22310.8数据库系统安全22510.8.1数据库系统概述22510.8.2数据库系统安全概述22810.8.3数据库系统安全的实现23010.9数据安全23410.9.1数据安全的概念23410.9.2数据安全保护措施23610.10其他安全技术23810.10.1互联网金融安全23810.10.2大数据安全24210.10.3云计算安全24610.10.4物联网安全251参考文献257