6.2.2  安全评审的内容

6.2.2 安全评审的内容

在研发风险管控工作中主要有安全需求评审、安全设计评审、安全需求实现审核三类安全评审。评审的对象分别为安全需求分析工作、安全设计工作产出物、信息系统整体安全需求实现情况。根据信息系统研发项目的工作周期、技术难度、复杂程度以及业务紧迫性等要求，可以适当增减评审内容，或调整评审的侧重点。各阶段安全评审主要内容如下：

1.安全需求评审

在项目需求评审的同时，对安全需求进行评审。安全需求评审的主要内容包括：

（1）安全需求的符合性 安全需求应符合安全需求指南的要求，符合相应级别的信息系统安全等级保护要求，符合相应业务领域其他特殊安全管理要求等。

（2）安全需求的完备性 安全需求应覆盖信息系统的物理、网络、系统、应用、数据等各领域，应覆盖信息系统的各个子系统和模块，应满足信息系统投产、运维、变更、下线等生命周期阶段的安全操作要求。

（3）安全需求的合理性 安全需求应符合信息系统的业务特点，符合商业银行信息科技水平，提出合理的资源需求。

2.安全设计评审

在项目设计评审的同时，对安全设计进行评审，安全设计评审的主要内容包括：

（1）安全设计的完备性 安全设计应至少覆盖通过安全需求评审的所有安全需求。对于无法从技术上实现的安全需求应采用相应的管理补救措施。

（2）安全设计的合理性 安全设计应符合商业银行总体安全架构，符合商业银行信息科技水平，满足安全和效率兼顾的原则。

3.安全需求实现审核

在编码结束阶段同步开展安全需求实现审核，安全需求实现审核的主要内容包括：

（1）安全需求实现的完备性 应至少实现通过安全设计评审的所有安全功能，对于无法从技术上实现的安全需求均提出了相应的管理补救措施。

（2）安全需求实现的准确性 审核源代码安全审核结果、系统单元和集成测试结果，审查安全需求实现的正确性。