1月15日,人民银行发布金融行业标准《金融业开源软件应用 管理指南》(JR/T 0290-2024)(以下简称“《指南》”),于当天实施。
《指南》提供了金融机构在应用开源软件时的全流程管理指南,对开源软件的使用和管理提供多方面的指导。适用于金融机构规范自身对开源软件引入、使用及退出的过程管理以及风险管控。
《指南》提到,开源软件管理架构包括配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理和工具化管理等6部分内容,覆盖2个制度要素和3个技术管理流程,宜配置1个管理工具。金融机构可通过对3个层面的管理效果开展成熟度自评估,逐渐完备整体技术管理能力。
其中,制度层面:在配套组织架构和配套管理规章制度上设置针对开源软件应用的管理要求。
流程层面:在开源软件从引入到退出的生命周期流程管理、风险管理和存量管理等3个方面提出管理要求。
工具层面:宜通过构建基础设施支撑开源软件管理,引入或搭建自动化工具提高管理效率。
其中,决策团队第一负责人宜为金融机构技术条线总责任人,负责决策和发布开源软件应用管理规章制度、管理流程和管理策略。
管理团队可为实体组织或虚拟型组织,负责制定和执行开源软件管理规章制度和管理流程,至少包含专项人员、技术人员、安全人员、法务合规人员等。
应急处置管理:针对开源软件出现重大安全漏洞、停服等突发情况,宜制定特定或整体的开源软件应急处置预案,规范应急处置流程,合理的安排预案演练,做到及时有效地实施应急处置工作,降低风险影响。
在生命周期流程管理上,环节有引入管理、使用管理、持续评估、退出管理。引入管理最重要的包含引入评估、信息管理等事项;使用管理最重要的包含从制品仓库获取介质、依据开源软件使用情况建立台账等事项;持续评估最重要的包含安全漏洞评估、版本评估、开源许可证评估等事项;退出管理最重要的包含升级机制、更换机制、退出机制等事项。
在风险管理上,有风险识别、风险记录、风险处置、风险评价。风险识别:金融机构可通过法律风险、安全漏洞风险、供应链风险等风险点进行识别;风险记录:专项人员对开源软件风险点进行记录与及时反馈;风险处置:针对安全漏洞风险、法律风险或供应链风险,均提出对应的具体处置方式;风险评价:宜定期通过开源软件使用情况、开源社区支持情况、开源软件供应商服务品质3方面做评价。
在存量管理上,金融机构宜针对开源软件的存量情况做梳理、记录与分析,管理措施至少包括制定和更新存量开源软件的管理策略与计划;识别、记录开源软件,形成开源软件清单;对使用开源软件的系统名、联系人、使用部门等进行记录,形成开源软件应用台账;监控和全面排查存在风险的存量开源软件,记录安全漏洞情况,与责任人建立沟通等。
金融机构在进行内部软件资产盘点时,若评估认为自身引入的开源软件类型丰富、数量较多,可通过构建工具的方式对开源软件来管理。工具类型最重要的包含2种:
一是构建金融机构内部管理平台,通过开源软件的线上流程化管理,实现组织架构、流程管理、开源软件信息展示、社区信息展示、制品仓库等需求。
二是第三方开源软件自动化扫描工具可以帮助金融机构更快速、准确地跟踪和记录开源软件相关信息,实现开源软件台账、安全漏洞跟踪、开源许可证跟踪等需求。
最后,金融机构可通过将开源软件应用管理程度划分等级、明确管理项目的方式,对开源软件的管理效果开展成熟度自评估,提升开源软件治理能力。管理成熟度从低到高有3个层级:
探索级:执行了开源软件应用管理的部分工作,尚未形成规范性流程和制度。提升级:形成明确的架构分工和完善的管理流程制度,对开源软件进行流程化管理。成熟级:通过利用开源软件管理工具等对开源软件进行专业化和自动化管理。
《指南》展示了开源软件应用管理成熟度表,此表可作为评估开源软件管理效果的依据,通过对照开源软件在管理维度、层级、具体管控项达成情况,提升相应的开源软件应用管理能力。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
央行天津市分行王云:天津市4501台ATM机支持境外银行卡提取人民币现金
央行天津市分行黄丽珍:优化现金支付环境是天津优化支付服务工作的重要组成部分
深圳市宇通互联信息技术有限公司地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606