我国商业银行信息科技风险管理指引和国家等级保护要求，都指出银行必须构建一个完整的开发安全管理体系，以实现对信息系统整个生命周期的控制。这个体系应该是一个从需求分析、设计、编码实现、测试到上线全生命周期的安全管理体系。软件工程的相关研究表明，在软件开发周期的早期就修补安全漏洞更高效而且更具成本效益。因此，银行在防范金融风险的过程中，必须充分重视开发安全管理体系的建设，控制具体应用系统的开发过程，同步进行安全建设，避免应用系统开发完成后再考虑安全问题。

银行在建设应用系统开发安全管理体系时，应当首先考虑制定相应的制度与流程。通过对各种类型应用系统开发过程的研究，发现其中面临的各种与安全相关的并且具有一定通用性的问题，银行需要针对这些问题制定相应的开发安全规范，以保证安全不被忽视。开发安全规范的制定应该依照组织的整体方针和业务目标，并引用其他参考文档（如通用准则、安全标准、组织过程资产以及最佳实践等等）来识别与控制风险，提出与开发安全有关的方针、目标、指标、过程和程序。

开发安全规范一般包括安全需求分析指南、安全技术方案设计规范、安全编码规范和安全测试规范等。依据开发安全规范，银行在进行应用系统开发过程中，对于各个阶段的安全问题加以相应的控制，确保应用系统在开发中的安全管理。

(责任编辑：闫小琪)