信息科技风险管理书评：保护企业数字资产的有效指南

《信息科技风险管理》这本书是我看的，因为它被广发、招商、平安九江等多名专家推荐。我以为这本书会很有料，结果发现是宇宙行的专家写的，还是很不错的。这本书总体分为两大部分，第一部分前九章是合规管理，第二部分后十二章是技术防控。可以很明显地看出，第一部分是偏业务的，第二部分是偏技术的。无论是合规审计的技术人员还是业务人员，都可以根据自己的需求选择对应的章节去学习。

第一部分包括了信息科技的八大风险：信息科技治理、信息科技风险管理、信息科技审计管理、信息安全管理、开发与测试风险管理、运维管理、业务连续性管理、外包管理。每个章节的结构都很中规中矩，包括工作职责、组织架构、管理内容、工作机制等。对于非审计人员来说，扩大知识面还是很有用的。但是对于专业的合规人员来说，估计内容仍然偏浅。这可能是因为工作内容有所不同。

第二部分是技术防控，针对第一部分提出的八大领域的合规风险进行了相应的描述和介绍。包括了信息科技治理数字化转型、风险管理技术化、审计管理、安全技术架构、开发与测试、数据中心的运维管理、金融机构基础设施系统、外包管理平台、金融科技相关技术与风险等内容。确实，对于小型银行或信息化程度不高的银行来说，这些内容有一定的借鉴意义。

参考宇宙行的做法，再结合本行的实际情况，逐步建立本行的信息科技风险防控体系，真正将信息科技风险落实到实地。