4.5  安全技术支持服务体系

安全技术支持服务体系的主要目标是通过提供统一的、稳定的安全技术服务，协助研发团队开展研发风险管控工作，使其能够方便、快捷、高效地完成信息系统的安全设计和开发工作，降低工作量，提高工作效率。安全技术支持服务体系一般由研发风险管控团队负责建立和运行维护。同时，安全技术服务体系也为研发风险管控团队提供相关技术服务和支持。

安全技术支持服务体系体现了“服务研发、防控风险”的原则，使商业银行在开展研发风险管控工作时，能够紧紧围绕信息系统研发这个核心工作任务，妥善处理安全和效率之间的关系。因此，安全技术支持服务体系的重点在于“服务”，应将服务的理念贯穿于体系建设的每项工作中去，通过服务来协助和辅助项目研发团队，使其更好地完成信息系统安全研发工作。同时服务的形式也更容易被接受，能够潜移默化地影响项目研发团队，使其逐渐形成主动遵守研发风险管控工作要求的习惯，有利于研发风险管控工作的推广。

安全技术支持服务体系由一系列安全技术支持和安全服务模块组成，一般包括安全培训、安全架构、安全需求、安全设计、源代码安全审核、漏洞扫描、渗透测试、研发风险管控平台。商业银行也可根据自身实际情况，将其他安全技术支持服务相关工作纳入体系范围。