6.2.1  安全评审概述

6.2.1 安全评审概述

根据统计，在大多数企业的产品研发过程中，三分之二的缺陷都是在需求和设计阶段引入的^[52]，因此，通过评审尽早地发现产品缺陷并提前修复，将大大降低商业银行研发成本。

安全评审将安全内容作为评审对象，是确保项目安全设计开发水平的重要手段之一。安全评审是由安全评审小组对项目安全需求、安全设计及安全需求实现情况进行评价，以判定其是否满足研发风险管控工作要求，同时发现存在的安全问题，并督促问题整改。通过安全评审可以检查和确定信息系统的安全设计和安全开发是否符合研发风险管控工作要求，信息系统的安全需求是否得到恰当的实现等。

安全评审工作由安全评审小组负责。安全评审小组由研发风险管控部门从安全专家团队中抽取相关专家组成，根据评审需要，安全评审小组成员可分别担任以下角色。

（1）主审人 从安全评审小组内部专家中推选产生，负责评审的主持、结论和协调工作；

（2）评审专家 负责提出自己的评审意见和建议；

（3）记录员 由安全评审小组内部成员担任，也可由信息安全督导员兼任，负责记录评审会议纪要，完成评审报告和问题追踪等工作。

安全评审工作主要依据研发风险管控制度和标准执行，并根据信息系统实际情况灵活掌握。在开展安全评审过程中，应注意以下工作要点。

1）不能因为时间紧迫和缺少资源而省略评审。

2）视项目具体情况，评审可一次进行，也可分多次进行。

3）视项目具体情况，评审可与其他评审合并进行，也可单独进行。

4）对于重点系统应重点评审。

5）评审专家必须是该领域内的专家。

6）评审专家数量必须满足一定的要求。

7）评审前要充分准备和沟通。

8）安排合理的预审时间以便评审专家提前阅读评审材料。

9）评审过程要严肃认真。

10）评审结论应公正明确。

11）记录评审中出现的问题，并跟踪改进。

12）评审资料要及时归档。