9.1.1  安全研发策略

安全策略是高级管理层制定的一个全面声明。它规定安全在组织机构内所扮演的角色。安全策略可以是组织化策略，也可以是针对特定问题的策略或针对系统的策略。在组织化安全策略中，管理层规定了应该如何建立安全计划，制定安全计划的目标，分配责任，说明安全的战略和战术价值，并且概述应该如何执行安全计划。这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。组织化安全策略为组织机构内部未来的所有安全活动提供了范围和方向，还说明了高级管理层愿意接受多大的风险^[2]。

安全策略的核心内容就是“七定”，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。“七定”的核心目标就是确保机构的信息系统安全。

组织有许多安全策略，这些策略应该按层级化的方式建立。组织化安全策略位于最高层，下面是针对具体安全问题的策略，成为功能实现策略，主要处理管理层认为需要更多详细解释和关注的特定安全问题。

一种常见的安全策略层级如图9-1所示，说明了组织化安全策略和功能实现策略之间的关系^[2]。

拟定安全策略，实际上就是确定信息系统的安全保障体系如何建、怎么建，建好后如何管、怎么管等事关全局的大事。因此在决策前需要理清头绪，抓住关键环节，即安全策略的制定原则。根据我国信息化建设经验总结，安全策略制定应遵守以下原则：主要领导人负责原则，依法行政原则，以人为本原则，全面防范、突出重点原则，注重效费比原则，系统、动态原则。

安全研发策略属于功能实现策略中的一种。安全研发策略同样由“七定”组成。

首先是“定方案”，建设一个信息系统，与安全方案有关的组成因素包括：主要硬件设备；操作系统和数据库；网络拓扑结构；数据存储方案和存储设备；安全设备；软件开发平台；软件系统结构；业务运营与安全管理；应急处理方案等。这些全局性组成因素的确定是否合理，对以后整个系统的信息安全方案的确定具有决定的作用。

其次是“定岗、定位、定员、定目标”，即确定负责信息系统安全开发的部门、岗位、人员和职责。当前我国商业银行普遍在信息科技部门设置安全处室，少数单位还建立专职的安全团队，明确了本行信息安全工作由安全处室或安全团队负责。但是这样还不完全满足安全研发策略的需要，还应在研发团队中指派专职安全员，负责研发过程中的信息安全和风险管控工作。后续的“定制度、定工作流程”由安全开发岗位的人员负责完成即可。

图9-1 安全策略层级图