4.1.2 商业银行研发风险管控体系总体架构
商业银行研发风险管控体系总体架构包括组织体系、制度体系、标准体系和安全技术支持服务体系四大部分[36],如图4-1所示。
图4-1 商业银行研发风险管控体系总体架构
1.研发风险管控组织体系
组织体系的合理建设是保证研发风险管控工作有效开展的基础。商业银行一般有专职团队负责信息系统的设计开发工作,例如大型商业银行的软件开发中心、测试中心,中小型商业银行的IT管理部门等。商业银行研发团队的传统组织模式主要包括项目管理团队、项目需求团队、项目研发团队、项目测试团队等。由于研发风险管控职能分散,容易形成责任不明确,要求不能全面落实的情况。为明确工作职责,加强研发风险管控工作的推动力度,应在商业银行的研发团队中建立研发风险管控工作组织,包括设置专职的研发风险管控部门,成立组织级的研发风险管控团队等。同时,还应在项目研发团队中设置信息安全经理、信息安全督导员和安全专家3个研发风险管控工作角色。
2.研发风险管控制度体系
制度体系是研发风险管控工作有效开展的规范和依据。根据研发风险管控工作需要,参考中国人民银行、银监会等监管要求,商业银行研发风险管控制度体系可分为方针政策层、管理办法层和操作规程层3个阶层。
(1)方针政策层 确立商业银行研发风险管控体系整体架构,明确研发风险管控策略和战略目标,例如《研发风险管控体系建设纲要》等。
(2)管理办法层 规范商业银行研发风险管控体系各工作领域的管理职责和要求,主要制度为《商业银行信息系统研发风险管控工作办法》、《信息系统安全等级保护管理办法》等。
(3)操作规程层 明确了各环节的具体流程和实施要求,是研发风险管控工作活动的准则,例如《信息系统研发项目立项安全管理细则》、《信息系统研发过程安全管理细则》等。
3.研发风险管控标准体系
安全标准是商业银行信息系统安全研发的依据,也是对商业银行信息系统进行安全评估的准则。只有建立起涵盖信息系统的完整技术标准体系,才能实现系统安全性的最大化。根据商业银行信息系统研发风险管理需求,结合行业最佳实践,研发风险管控标准建议包括《安全定级指南》、《安全需求指南》、《安全设计指南》、《安全编码规范》等。
1)《安全定级指南》明确了信息系统安全等级保护定级方法,为信息系统研发项目立项过程中的定级工作提供指导,确保信息系统定级的准确性和合理性。
2)《安全需求指南》可以从身份鉴别、访问控制、安全审计、通信完整性和保密性、存储完整性和保密性、抗抵赖、软件容错、资源控制、剩余信息保护等方面对信息系统提出针对性的安全需求。由项目研发团队选取适用内容,形成信息系统安全需求。
3)《安全设计指南》规范信息系统安全设计原则、方法和要求,要求研发人员在开展安全设计时参考执行。
4)《安全编码规范》针对SQL注入、跨站脚本、缓冲区溢出等源代码安全漏洞,制定有针对性的安全编程规范,指导系统开发人员进行安全编程。
4.安全技术支持服务体系
安全技术支持服务体系是研发风险管控体系的重要组成部分。通过安全技术支持服务使研发风险管控体系的各项管理措施和技术措施在信息系统建设中落地实施,以达到对研发风险全面管控的目标。安全技术支持服务体系建议包含安全培训、安全架构、安全需求、安全设计、源代码安全审核、漏洞扫描、渗透测试、研发风险管控平台等内容。