1.1.2  信息系统研发风险

随着现代企业的业务经营和管理越来越依赖于信息系统，以及企业信息系统复杂性的不断增加，信息系统研发风险管控的重要性逐渐显现。信息系统研发风险是在信息系统研发阶段存在的，可能导致信息系统安全问题的风险。信息系统研发风险管控工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作，旨在保障和提高新研发信息系统的安全性。

信息系统研发风险存在于信息系统研发全生命周期各个阶段。在信息系统研发过程中，无论是需求的完整性、设计的合理性还是编码的质量，甚至是选择的研发工具、采用的实现技术等均有可能引入研发风险。从管控角度来看，信息系统研发风险的内涵主要表现在以下方面：

（1）安全设计风险 是指信息系统研发过程中未充分考虑安全性，从而导致系统安全需求分析不充分、安全设计不完整，系统上线后存在不安全因素的风险，例如，用户口令复杂度不足、敏感数据未加密存储等。

（2）系统漏洞 是指在软件编码过程中由于开发人员疏忽或者编程语言的局限性，导致程序存在可以被黑客利用的逻辑错误的风险，如SQL注入、跨站脚本、缓冲区溢出等。

（3）变更维护风险 是指因信息系统变更、升级或移植困难而影响其正常使用的风险。一个好的信息系统，其体系结构应尽可能以配置的方式实现修改，即无需修改代码，只需修改系统配置文件，然后重启信息系统就完成了部分功能和性能要求的变化。对于需要打开源代码进行修改的，也仅是继承原先的代码，把代码改动量降到最少。

（4）合规性风险 是指未落实监管部门关于研发风险管控的监管要求，可能间接影响信息系统安全性，需要进行整改的风险，例如，未落实《银监会非现场监管报表》对“项目代码安全检查完成率”、“代码安全检查方法”的要求等。

（5）外包风险 是指未做好信息系统研发外包、外购以及外协管理而形成的风险，例如外包系统留有后门、外协人员泄露商业秘密等。