4.2.2 商业银行研发风险管控组织体系建设
商业银行可根据研发风险管控工作需要,结合自身信息科技组织架构,建立研发风险管控组织体系。一种可供参考的研发风险管控组织体系架构如图4-2所示。
图4-2 商业银行研发风险管控组织体系
该体系主要由4个层次组成,包括1个领导组织,即信息科技风险管理领导小组;4个研发风险管控相关部门,即研发部门、研发风险管控部门、测试管理部门、运维管理部门;1个独立安全专家组织,即安全专家团队;3个安全角色,即信息安全经理、信息安全督导员和安全专家。各组织、部门和角色的职责如下。
1.领导组织
信息科技风险管理领导小组由商业银行信息科技部门高层领导组成,负责贯彻执行全行信息科技风险管理策略,制定研发风险管控工作策略,审定研发风险管控工作相关制度、标准和规范,对研发风险管控工作进行监督和指导。
2.研发风险管控相关部门
(1)研发部门 主要职责包括选派项目信息安全经理,在信息系统研发过程中执行安全需求分析、安全设计、安全编码等研发风险管控工作要求,落实安全规范和标准等。
(2)研发风险管控部门 由商业银行单独设立或者由安全管理部门兼任,负责根据研发风险管控策略制定和维护信息系统研发风险管控工作流程,制定和维护相关安全技术规范,组建研发风险管控团队,组织开展研发风险管控活动,做好安全技术支持服务工作,对研发风险管控工作开展情况进行督导和检查,定期向信息科技风险管理领导小组报告研发风险管控工作开展情况,定期开展信息安全管理培训和技术培训等。
(3)测试管理部门 测试管理部门应负责信息系统安全测试工作,在业务功能测试基础之上,强化信息系统安全功能测试和安全漏洞扫描测试,以进一步验证信息系统安全功能的有效性,排查可能导致黑客攻击的安全漏洞。
(4)运维管理部门 运维管理部门负责信息系统的投产上线及安全运行维护工作,应及时发现信息系统安全问题,并反馈研发部门和研发风险管控部门,推动问题修复和研发风险管控体系的优化完善。
3.安全专家团队
安全专家团队由商业银行内部具有较强安全技术能力的专家,以及外部聘请的专家组成。每次开展评审工作时,从安全专家团队中随机抽取专家组成评审工作组,负责对研发风险管控制度和安全技术标准规范进行评审,对信息系统安全需求、安全设计方案,以及安全需求实现情况进行审核。
4.安全角色
(1)信息安全经理 信息安全经理由项目组中安全技术较强,具有一定管理能力和技术水平的人员担任,负责组织开展项目安全需求分析、安全设计、安全编码、源代码安全审核和安全测试等工作。
(2)信息安全督导员 信息安全督导员由研发风险管控部门派员担任,负责全程跟踪和督导项目研发风险管控工作,协助信息安全经理制订安全管理计划,开展安全需求分析、安全设计、源代码安全审核等工作,协调信息安全经理和安全专家开展安全需求、安全设计评审工作,牵头组织安全需求实现的审核工作,对研发风险管控工作开展情况进行检查或抽查,定期汇报各项目研发风险管控工作开展情况。商业银行的全体信息安全督导员共同构成了研发风险管控团队。
(3)安全专家 安全专家由商业银行内部推选专家或外聘专家担任,负责参与各项安全评审工作。安全专家应当熟悉信息科技风险管理监管要求和信息安全标准,具有丰富的信息安全管理及研发经验,熟练掌握信息安全专业知识,具有较高的信息安全技术能力,并定期接受相关安全技术培训。