5.1  立项阶段研发风险管控工作流程

5.1 立项阶段研发风险管控工作流程

立项阶段主要完成项目涉及信息系统的安全等级保护定级工作，工作流程如图5-2所示。

图5-2 立项阶段研发风险管控工作流程

（1）活动目标 完成该项目涉及信息系统与现有信息系统的归属划分，进而确定定级对象和定级对象的等级保护级别。

（2）参与角色 信息科技风险管理领导小组、业务主管部门、研发风险管控团队、项目组。

（3）活动输入 信息系统研发项目立项申请材料、信息系统研发项目业务需求说明书。

（4）活动描述 本活动主要包括以下子活动内容：

1）信息系统划分。由业务主管部门提供信息系统业务安全描述材料，由研发风险管控团队进行该项目涉及信息系统与现有信息系统的归属划分工作，进而确定定级对象。

2）信息系统安全等级保护定级。由研发风险管控团队根据“安全定级指南”确定每个定级对象的安全保护等级，并形成《信息系统安全等级保护定级报告》。

3）级别评审和审批。信息系统定级结果应作为立项材料内容之一，提请商业银行信息科技风险管理领导小组审批。在审批过程中，信息科技风险管理领导小组可根据监管要求和商业银行实际情况对定级结果进行调整。

4）定级结果下发。级别审批通过后，随项目启动材料下发项目组，要求项目组按照该项目涉及信息系统等级保护级别开展项目安全开发工作。

（5）活动输出 信息系统安全等级保护定级报告。