部分银行开始采用信息系统开发全生命周期安全管理体系
由中国民生银行(简称“民生银行”)和北京国舜科技股份有限公司(简称“国舜股份”)共同研究并提出的信息系统开发全生命周期安全管理已在部分银行开花结果,其成果也得到金融机构的广泛重视。《金融电子化》2016年8月刊刊发专文阐述了该体系在研究及实践中取得的最新应用成果。
在互联网金融时代,如何快速响应千变万化的业务需求,并在敏捷开发的过程中保障信息系统的安全性,是银行业正在面临也必须解决的关键问题。国内商业银行在信息系统开发面临的现实困难是:内部科技开发人力资源有限,大量的开发工作依赖于外包公司实现,而外包公司开发质量参差不齐且人员流动性较大,难以满足信息系统安全要求。
在此情况下,通过全面、有效的安全管理来提高所开发系统的安全性就显得尤为重要。经过民生银行与国舜股份的共同努力,新的信息系统开发全生命周期安全管理体系得以提出并推广。此体系以ADCTA循环模型为理论基础,形成一个层次化开发安全管理体系,包含威胁资源库与测试资源库、情景式安全需求分析平台、自动化安全规则审计平台以及移动安全开发框架等大量有效工具。
国舜股份副总裁汤志刚表示,全生命周期安全开发管理体系是面向行业应用,以开发安全纲要为指导,包含安全控制、安全操作、安全支撑、安全培训等诸元素,层次化的,覆盖系统生命全周期的开发安全管理体系。该体系已经应用于民生银行、吉林银行、包商银行等金融机构的信息系统开发中。实践证明,应用此体系能促进安全隐患的早发现、早整改,在提高安全开发工作效率的同时大幅提高了系统的安全性。
谈及该体系的应用前景,汤志刚则表示,将安全管理前移,对开发进行安全管理是银行业信息系统安全发展的必然趋势,越来越多的银行将引入安全开发管理,而民生银行与国舜股份推出的全生命周期安全管理体系及配套工具,经过实践的考验,将会得到越来越广泛的应用。
分享让更多人看到
相关新闻
- 评论
- 关注