柴洪峰，教授级高工，复旦大学客座教授。上海交大兼职教授，中国银联创始人之一，银联数据创始人，1998年被国务院授予享受政府津贴专家。现任中国银联董事、执行副总裁，电子商务与电子支付国家工程实验室理事长、主任。
　　曾发表《中国银行卡产业标准的统一和普及》、《银行卡产业标准发展的回顾和展望》等数十篇论文，系统地提出了中国银行卡产业标准的体系建设思路和发展方向。指导制定八大类、68项银行卡标准，其中5项行业标准、7项国家标准，并成功地将中国标准推广到143个国家和地区。其中，《银联卡芯片安全规范》是国内第一部体系全面的金融智能卡安全标准，同时也是与国际标准接轨并具有自主特色的标准体系。

　　《金融IT服务外包信息安全管理》在回顾国内外金融IT服务外包产业的发展历史以及政府监管政策的基础上，结合银联数据服务有限公司的具体实践，从战略层到执行层等多个层面详细介绍了金融IT服务外包企业在安全治理和安全管控方面的方法和措施。

　　《金融IT服务外包信息安全管理》：
　　
　　应考虑存储记录的介质性能下降的可能性。应按照制造商的建议实施存储和处理程序。
　　应选择数据存储系统，使得所需要的数据能根据要满足的要求，在可接受的时间内，以可接受的格式检索出来。
　　存储和处理系统应确保能按照国家或地区法律或法规的规定，清晰地标识出记录及其保存期限。该系统应允许在保存期后恰当地销毁记录，如果组织不需要这些记录的话。
　　3）安全策略和标准合规性
　　管理人员应确保在其职责范围内的所有安全规范被正确地执行，以确保符合安全策略及标准规范。
　　管理人员应对自己职责范围内的信息处理是否符合安全策略、标准和任何其他安全要求进行定期评审。如果评审结果发现有任何不符合，管理人员应确定不符合的原因、评价确保不符合不再发生的措施需要、确定并实施适当的纠正措施和评审所采取的纠正措施。
　　评审结果和管理人员采取的纠正措施应被记录，且这些记录应予以维护。当在管理人员的职责范围内进行独立评审时，管理人员应将结果报告给执行独立评审的人员。
　　4）技术合规性检查
　　信息系统应被定期检查是否符合安全实施标准。技术符合性检查应由有经验的工程师或技术专家执行，可出具供后续解释的技术报告。任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。
　　……

第1章 金融IT服务外包信息安全概论
1.1 金融IT服务外包概述
1.1.1 金融IT服务外包的类型和模式
1.1.2 国际金融IT服务外包的发展历程和现状
1.1.3 中国金融IT服务外包的发展历程和现状
1.2 金融IT服务外包的信息安全概述
1.2.1 信息安全对接包企业的重要性
1.2.2 信息安全对发包企业的重要性

第2章 金融IT服务外包的监管和履约要求
2.1 金融IT服务外包的监管制度
2.1.1 国际金融IT服务外包的监管经验
2.1.2 中国金融IT服务外包的监管制度
2.2 金融IT服务外包的合同风险控制
2.2.1 金融IT服务外包的合同风险概述
2.2.2 金融IT服务外包的合同制定范围

第3章 金融IT服务外包的信息安全治理
3.1 信息安全战略
3.1.1 信息安全战略目标
3.1.2 银联数据的信息安全战略
3.2 信息安全组织管理
3.2.1 信息安全组织的管理原则
3.2.2 银联数据的信息安全组织架构
3.3 信息安全人员管理
3.3.1 信息安全人员管理的原则
3.3.2 银联数据的信息安全人员管理
3.4 信息安全风险管理
3.4.1 评估信息安全风险主要依据的原则
3.4.2 信息安全风险处置的原则
3.4.3 银联数据的信息安全风险管理体系
3.4.4 银联数据的信息安全风险评估体系
3.5 合规性管理
3.5.1 法律法规合规管理方法和目标
3.5.2 银联数据的法律法规合规管理

第4章 金融IT服务外包的信息安全管控
4.1 基础运营管控
4.1.1 机房安全性和可用性保障
4.1.2 主机安全性和可用性保障
4.1.3 网络安全性和可用性保障
4.1.4 数据保密性、完整性和可用性保障
4.2 运营服务管理保障
4.2.1 服务单管理
4.2.2 事件和问题管理
4.2.3 变更和发布管理
4.2.4 配置管理
4.2.5 能力管理
4.2.6 服务水平协议保障
4.3 应用系统开发、测试和维护保障
4.3.1 应用系统的安全需求分析
4.3.2 应用程序的安全设计
4.3.3 应用系统开发过程安全
4.3.4 应用系统维护
4.4 业务连续性保障
4.4.1 业务连续性保障的概念
4.4.2 业务连续性演练、维护和评审
4.4.3 银联数据的业务连续性保障措施
参考文献