3.2.1 商业银行研发风险管控模型的设计
纵观各种研发风险管控理论和模型,可以看出它们有许多共性[34]:
1)都要求在系统设计、研发阶段就引入安全策略,将安全融入整个信息系统研发生命周期,从源头上避免安全问题出现。
2)都强调对需求、设计、编码等关键阶段的安全管理,要求执行特定的安全管理活动。
3)都兼顾安全和效率之间的平衡,尽管一些模型的活动数量较多、较为全面,但并不要求执行全部活动,组织可以根据实际情况进行合理裁剪。
4)大多数模型都给出了指导建议、最佳实践案例、文档支持或管理工具,具备较强的指导性和较高的可操作性。
这些共性与商业银行研发风险管控工作特点有许多契合之处。除此之外,商业银行研发风险管控也有自身的特点。
1)商业银行信息系统研发工作通常以项目的形式开展,因此,商业银行研发风险管控工作不但要融入信息系统研发生命周期,还应兼顾项目生命周期,将安全管理活动与项目管理活动相结合,以提高工作效率。
2)商业银行的信息系统种类数量繁多,关联关系复杂,加上研发团队工作量大,任务繁重,因此往往存在重效率、轻安全的情况,因此必须加强各个环节的评审,以确保研发风险管控工作效果和质量。
3)商业银行信息系统建设必须满足中国人民银行、银监会等监管部门的监管要求,以及我国信息系统安全等级保护基本政策,并定期接受安全等级测评和检查,因此商业银行信息系统研发风险管控工作应首先确定信息系统安全等级保护级别,根据信息系统的安全级别采取相应的安全设计强度,达到安全资源的合理配置和安全与效率之间的平衡。
4)商业银行的信息系统建成后,一般较为稳定,后期仅根据新增需求对现有系统升级改造即可,因此商业银行的信息系统升级改造类项目居多,相应的商业银行研发风险管控工作也应结合升级改造项目特点,着重关注新增需求的安全设计、研发工作,并对系统升级改造前存在的安全缺陷和脆弱点进行优化改进。
综上所述,为了规避信息系统研发过程中的安全设计、系统漏洞风险、升级维护风险、合规性风险和外包风险等各类风险,结合商业银行信息系统研发工作现状和特点,参考SDL、CLASP和Touchpoints等研发风险管控工作理论和模型,我们提炼出指导商业银行信息系统研发风险管控工作的12项安全管理活动,形成符合商业银行研发风险管控工作特点的BASE(Bank Apps-development Security Events)模型[35],如图3-7所示。
图3-7 BASE(Bank Apps-development Security Events)模型[35]
BASE模型,又称银行业应用研发安全活动模型。Bank表示模型应用范围为商业银行;Application表示模型应用对象是商业银行应用系统;Security表示模型的目标是实现信息系统的安全性;Event表示模型以安全管理活动的形式来定义。