商行信息系统研发风险管控

完善而有效的制度体系是研发风险管控工作有效落地的保障。要建立健全一套完善的研发风险管控制度体系，必须从商业银行自身的实际出发，借鉴业界先进思想，参考国际国内通用标准及相关要求。通过对商业银行通用制度框架的研究可以发现，商业银行制度体系普遍遵守层次递进原则^[38]。因此，建议将研发风险管控制度体系也按层次递进原则分为三层，分别是方针政策层、管理办法层和操作规程层，如图4-3所示。

图4-3 商业银行研发风险管控制度体系

1.方针政策层

方针政策层的制度定义了商业银行开展研发风险管控工作的方针、政策或策略，用于确立商业银行研发风险管控整体架构，确保研发风险管控策略与商业银行整体IT战略和全面风险管理战略目标保持一致，是指导商业银行开展研发风险管控体系建设的基本依据。方针政策层的制度主要依据商业银行整体信息科技风险管理策略，结合内外部监管要求和商业银行工作实际制定，例如研发风险管控体系建设纲要等。

研发风险管控体系建设纲要的主要内容应包括：确定商业银行研发风险管理策略方针；确立商业银行研发风险管控的组织定位；规定研发风险管控制度的层次结构、主要内容；定义研发风险的分类与分级方法；明确安全技术支持服务体系在研发风险管控工作中的作用；定义研发风险管控机制的各个工作环节；提出研发风险管控体系建设的任务目标、实施步骤等。

2.管理办法层

管理办法层的制度包括各类管理办法和工作规程，是在方针政策层制度指导下制定的，针对各个研发风险管控工作领域的具体管理原则、方法和流程，例如信息系统研发风险管控工作办法、信息系统安全等级保护管理办法等。

1）信息系统研发风险管控工作办法的主要内容应包括：明确研发风险管控工作的组织职责；明确研发风险管控工作的工作流程和主要安全管理活动；提出在信息系统研发项目的立项、需求、设计、编码、测试、投产等各阶段的安全工作要求等。(www.zuozong.com)

2）信息系统安全等级保护管理办法的主要内容应包括：信息系统安全等级保护工作原则、策略和主要内容；信息系统安全等级保护工作组织和工作流程等。

3.操作规程层

操作规程层的制度从属于管理办法层制度，是指导各领域各条线具体工作的操作细则。操作规程层制度详细规范了信息系统研发项目开展过程中各项安全管理活动的执行要求，并提供了可操性的表单、手册等，例如信息系统研发项目立项安全管理细则、信息系统研发过程安全管理细则、信息系统测试安全管理细则、信息系统投产安全管理细则、信息系统下线安全管理细则等。

1）信息系统研发项目立项安全管理细则的主要内容应包括：明确项目立项过程中需要完成业务角度的安全需求分析，明确项目涉及信息系统的业务信息安全性和系统服务安全性，明确在项目立项过程中应确定信息系统的安全等级保护级别。

2）信息系统研发过程管控工作细则的主要内容应包括：明确信息系统研发风险管控体系的组织、角色、职责、工作流程和要求；指导信息安全经理在项目研发过程中开展研发风险管控工作，包括牵头组织安全需求、安全设计、安全编程，配合安全测试和安全投产等；指导信息安全督导员开展相关督导工作，包括组织安全专家进行安全需求评审、安全设计评审、安全需求实现审核等。

3）信息系统测试安全管理细则的主要内容应包括：明确信息系统上线前应开展安全功能测试和安全漏洞扫描测试，明确信息系统安全测试的要求和流程。

4）信息系统投产安全管理细则的主要内容应包括：明确信息系统投产的安全环境准备、投产操作要求和流程。

5）信息系统下线安全管理细则的主要内容应包括：明确信息系统下线的数据备份、数据清理和资源回收等安全操作要求和流程。