XX银行信息系统开发过程安全管理办法.docxVIP

XX银行信息系统开发过程安全管理办法 第一章总则 第一条为加强我行信息系统开发过程安全管理，防范信息科技风险,保证我行各信息系统及相关数据资料的安全性、有效性和完整性，根据银监会《商业银行信息科技风险管理指引》等监管要求以及我行相关制度制定本办法。 第二条本办法适用于我行所有信息系统的规划和建设。 第二章软件开发安全基本原则 第一条保护薄弱环节原则。综合评估软件及相关基础设施的风险，对信息系统进行全面的风险分析，识别出信息系统的薄弱环节，制定消除风险的措施并按照风险的危害严重性（风险级别）制定措施实施次序。 第二条纵深防御原则。应采用多重防御策略以管理风险：在某些防御策略失效时，其他防御策略仍可成功阻止防范风险损失的发生；应根据相关信息资产的敏感级别，在物理层、网络层、应用层及数据层等多个层次上进行必要的安全控制，并结合组织的总体安全措施，建立信息安全纵深防御体系。 第三条最小授权原则。应只授予业务人员执行业务操作所必需的最少的权限，且授予的权限只准许业务人员在所必需的最少的时间内执行。各信息系统的开发须保证系统中的操作功能具有足够的授权粒度，以便业务单元的所有者对信息系统的操作功能进行最小授权。 第四条操作留痕原则。各信息系统的开发应考虑系统的操作记录被客观地保留：可通过日志记录的方式对应用系统管理员及业务操作人员的系统维护和业务处理的操作过程留痕，并通过管理及技术的手段加以控制