我国商业银行信息科技风险管理指引和国家等级保护要求，都指出银行必须构建一个完整的开发安全管理体系，以实现对信息系统整个生命周期的控制。这个体系应该是一个从需求分析、设计、编码实现、测试到上线全生命周期的安全管理体系。软件工程的相关研究表明，在软件开发周期的早期就修补安全漏洞更高效而且更具成本效益。因此，银行在防范金融风险的过程中，必须充分重视开发安全管理体系的建设，控制具体应用系统的开发过程，同步进行安全建设，避免应用系统开发完成后再考虑安全问题。

　　银行在建设应用系统开发安全管理体系时，应当首先考虑制定相应的制度与流程。通过对各种类型应用系统开发过程的研究，发现其中面临的各种与安全相关的并且具有一定通用性的问题，银行需要针对这些问题制定相应的开发安全规范，以保证安全不被忽视。开发安全规范的制定应该依照组织的整体方针和业务目标，并引用其他参考文档（如通用准则、安全标准、组织过程资产以及最佳实践等等）来识别与控制风险，提出与开发安全有关的方针、目标、指标、过程和程序。

　　开发安全规范一般包括安全需求分析指南、安全技术方案设计规范、安全编码规范和安全测试规范等。依据开发安全规范，银行在进行应用系统开发过程中，对于各个阶段的安全问题加以相应的控制，确保应用系统在开发中的安全管理。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。