第5章  商业银行研发风险管控工作流程

商业银行应按照研发风险管控工作流程在信息系统研发各阶段执行相应的研发风险管控活动。商业银行可参考“商业银行研发风险管控模型”，建立符合自身实际情况的研发风险管控工作流程。根据安全和效率兼顾的原则，研发风险管控工作流程一般与项目管理流程相融合。一种典型的研发风险管控工作流程如图5-1所示。该流程将“商业银行研发风险管控模型”中的项目启动阶段分解为立项阶段和计划阶段。其中立项阶段主要完成安全定级工作，计划阶段主要完成安全团队建设、安全培训、安全管理计划制定工作。后续的需求分析阶段完成安全需求定制、安全需求评审工作；设计阶段完成安全设计、安全设计评审工作；编码阶段完成源代码安全审核、安全需求实现审核工作；测试阶段完成安全测试、渗透测试工作；交付阶段（即投产运维阶段）进行安全回馈^[26]。

图5-1 研发风险管控工作流程