一、电子银行安全评估

       项目必要性：
       近年来，网络安全的风险日益加大，国家和各商业银行都对防范金融网络安全风险非常重视。为有效控制电子银行业务风险，尽快完善电子银行业务的监管规章体系，中国银监会于2005年11月和2006年1月分别发布了《电子银行业务管理办法》和《电子银行安全评估指引》，并于2006年3月1日起施行。2009年3月，银监会发布了《商业银行信息科技风险管理指引》。中国人民银行于2012年5月8日向银行业金融机构发布了《网上银行系统信息安全通用规范》。电子银行的安全性和可靠性的要求较高，其风险超出了传统意义上金融风险的概念，电子银行的风险不仅包括传统意义上的金融风险，还包括技术风险等。
       项目内容：
       项目内容主要对安全策略、内控制度、风险管理、系统安全性、业务连续性（BCP）、应急管理（DRP）、风险预警、业务运作安全、其他等方面开展安全评估。
       项目收益：
        掌握电子银行安全的应用和安全现状；
        发现电子银行系统在技术方面存在的各种漏洞；
        分析目前所建立的电子银行系统安全体系与监管标准的符合性；
        寻找金融机构电子银行系统安全体系改进的机会，并提出改进建议或方案。

二、信息科技全面审计

       随着信息技术的广泛应用，信息化进程的不断渗入，信息科技本身也产生了一些风险，信息科技的运用还可能带来放大风险损失和使风险隐蔽的问题。与此同时，监管机构先后出台了《商业银行信息科技风险管理指引》等监管要求，明确要求商业银行每三年完成一次全面审计。综合内外部环境分析，银行需要启动全面审计活动，确保银行信息科技风险的识别、控制、整改、跟踪等各项机制的有效性，满足监管当局对信息科技风险控制能力的要求，确保信息科技风险得到充分的识别和控制，使银行信息系统可以安全、稳定和可持续的运行。
       项目内容：
       项目内容主要对信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试及维护、信息科技运行、信息科技外包、业务连续性、信息科技审计等八个领域开展全面审计。
       项目收益：
        健全信息科技治理架构
        推进信息科技制度体系建设
        建立起自己的信息科技风险审计队伍，逐步实现信息科技内部审计的职责
        建立健全信息科技风险管理的“三道防线”

三、信息科技专项审计

       面对越来越严峻的信息科技风险，监管机构先后出台了《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《银行业金融机构信息科技外包风险监管指引》等文件，定期或不定期对这些领域的管理情况进行专项检查。与全面审计不同，专项审计对风险检查的力度更加精细，考察要点也更为深入和具体，对风险的识别和风险更为充分。综合内外部环境分析，银行需要启动信息科技专项审计，确保银行信息科技风险的识别、控制、整改、跟踪等各项机制的有效性，满足监管当局对信息科技风险控制能力的要求，使银行信息系统可以安全、稳定和可持续的运行。
       项目内容：
       项目内容主要对信息科技治理、信息系统项目管理、重要信息系统开发投产、信息系统及基础设施运行管理、数据治理、业务连续性及应急管理、信息科技外包风险管理、信息安全管理、数据中心管理、安全可控管理等方面开展专项审计。
       项目收益：
        对银行信息科技系统进行专项审计，并提供合理、可落地及符合成本效益分析的整改建议及控制措施；
        通过信息科技的专项审计，有效地识别信息科技的风险，提出相应的整改建议，提升银行信息科技风险控制水平；
        通过信息科技专项审计项目，使银行充分了解本行信息科技风险的管控重点，为实现信息科技风险核心指标监测提供合理的数据源。

四、重要信息系统投产风险评估及报备咨询

       项目必要性：
       依据中国银监会发布的《银行业金融机构重要信息系统投产及变更管理办法》中要求，对银行重要信息系统、机房投产或变更报备相关材料提供咨询服务，确保银行重要信息系统投产运行顺利进行。
       项目内容：
       在对监管标准进行充分理解的基础上，我公司可为银行业提供重要信息系统投产及变更报备咨询与风险评估服务，包括资产识别、威胁识别、脆弱性识别、现有控制识别、可能性分析、影响性分析，最终计算风险值，给出风险处置措施及编写投产风险评估报告。
       项目收益：
        协助银行撰写重要信 息系统投产报备材料；
        分析目前重要信息系统的投产风险管控能力与监管标准的符合性；
        全面发现重要信息系统在投产前、投产中和投产后的风险和不足；
        寻找重要信息系统投产风险的改进机会；
        出具合规、具有法律效应的投产风险评估报告。

五、信息科技风险评估

       项目必要性：
       随着信息技术的广泛应用，信息化进程的不断渗入，信息科技本身也产生了一些风险，信息科技的运用还可能带来放大风险损失和使风险隐蔽的问题。与此同时，监管机构先后出台了《商业银行信息科技风险管理指引》等监管要求，要求银行进行定期风险评估，从风险的角度全面发现信息科技风险存在的不足和隐患，满足监管要求的同时，积极对风险进行整改，确保信息科技风险得到充分的识别和控制，使银行信息系统可以安全、稳定和可持续的运行。
       项目内容：
       项目内容主要对信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试及维护、信息科技运行、信息科技外包、业务连续性、信息科技审计等八个领域开展全面风险评估。
       项目收益：
        通过项目的形式培养风险管理团队，将监管要求、行业监管趋势与行内现状有机结合，在有限的资源内开展信息科技风险评估工作，逐步实现行内风险管理团队的建设，使风险管理工作可以有序推进，最终实现风险可控。
        协助风险部门完成二道防线所涉及的信息科技风险评估内容，至少从信息科技治理、信息科技风险管理、信息科技开发、运行及维护管理、信息安全、业务连续性管理等方面进行全面的风险评估，并提供合理、可落地的整改措施及咨询建议；
        独立完成信息科技风险环节中的技术评估，通过对网络设备、主机设备、安全设备、应用系统及数据库进行风险评估，全面发现所存在的漏洞和风险，并提供可落地的整改建议和控制措施；
        通过对承德银行进行信息科技风险评估后，出具符合法律效应的信息科技风险评估报告，并协助其完成风险整改。