T∕TJSFB 009-2025 金融業(yè)源代碼泄漏風險防范指南_第1頁
T∕TJSFB 009-2025 金融業(yè)源代碼泄漏風險防范指南_第2頁
T∕TJSFB 009-2025 金融業(yè)源代碼泄漏風險防范指南_第3頁
T∕TJSFB 009-2025 金融業(yè)源代碼泄漏風險防范指南_第4頁
T∕TJSFB 009-2025 金融業(yè)源代碼泄漏風險防范指南_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

附件1ICS03.060CCSA11團 體 標 準T/TJSFB009-2025金融業(yè)源代碼泄漏風險防范指南GuidelinesforPreventingSourceCodeLeakageRisksinfinancialIndustry2025-12-10發(fā)布 2025-12-10實施天市金學會 發(fā)布T/TJSFB009-2025T/TJSFB009-2025PAGE\*ROMANPAGE\*ROMANIII目??次目?次 I前 言 II引 言 III金融業(yè)源代碼泄漏風險防范指南 1范圍 1規(guī)范性引用文件 1術(shù)語和定義 1管理流程 1源代碼開發(fā) 1源代碼傳輸與共享 2源代碼存儲與備份 3源代碼銷毀 3安全審計及監(jiān)督檢查 3參考文獻 4前??言本文件按照GB/T《標準化工作導則第1本文件由天津市金融學會歸口。引??言T/TJSFB009-2025T/TJSFB009-2025PAGEPAGE1金融業(yè)源代碼泄漏風險防范指南范圍本文件提供了金融機構(gòu)在源代碼管理活動中防范泄漏方面的相關(guān)指南。本文件適用于金融行業(yè)源代碼泄露風險的識別、界定和有效防范。規(guī)范性引用文件(包括所有的修改單適用于本文件。GB/T11457—2006信息技術(shù)軟件工程術(shù)語術(shù)語和定義源代碼Sourcecode以適合于作為匯編程序、編譯程序或其他轉(zhuǎn)換程序輸入的形式表示的計算機指令和數(shù)據(jù)定義。[GB/T11457—2006,定義2.1541]管理流程源代碼開發(fā)開發(fā)測試環(huán)境(開發(fā)終端管理與權(quán)限控制制定開發(fā)終端管理機制,明確申請、使用、注銷、文件上傳、下載流程。開發(fā)終端具備用戶認證管理和訪問控制管理的能力。開發(fā)終端使用者宜通過開發(fā)終端資源申請審批后方可使用。開發(fā)終端宜支持代碼顯示水印,防止拍照、截屏等泄露源代碼。開發(fā)終端宜支持關(guān)鍵操作記錄、支持安全管理及審計。開發(fā)終端宜限制外部設(shè)備的使用,通過審批機制確保設(shè)備的安全性和可控性。源代碼管理軟件有條件的金融機構(gòu)宜采用源代碼管理軟件對源代碼進行配置管理、版本管理及源代碼倉庫管理:源代碼管理軟件宜明確使用機制。源代碼管理軟件宜僅對開發(fā)終端的用戶按照權(quán)限開放。配置及版本管理機制有條件的金融機構(gòu)宜建立配置及版本管理機制,包括管理權(quán)限和工作內(nèi)容:由配置管理員負責對源代碼和源代碼管理軟件進行統(tǒng)一管理。包括配置管理計劃、權(quán)限管理、命名規(guī)范、版本管理流程及自動化部署工具使用等內(nèi)容。源代碼安全掃描及審查有條件的金融機構(gòu)宜建立源代碼安全及審查機制,防范潛在漏洞和隱患:宜建立源代碼掃描規(guī)則庫,在開發(fā)、測試等階段進行代碼安全掃描,確保源代碼的安全性。宜定期開展源代碼審查,及時發(fā)現(xiàn)潛在的安全漏洞和泄露隱患。宜定期開展開發(fā)終端本地磁盤掃描,及時發(fā)現(xiàn)客戶敏感信息及非必要留存代碼。宜針對檢查發(fā)現(xiàn)問題,制定整改計劃并按期整改。宜進行源代碼開源組件成分分析,增加準入審批機制,加強供應鏈安全管理。源代碼傳輸與共享有條件的金融機構(gòu)宜在源代碼的傳輸使用過程中加強風險識別:技術(shù)人員之間傳輸源代碼宜通過通訊軟件進行傳輸與共享,通訊軟件宜支持內(nèi)容記錄及追溯,涉及真實個人信息的數(shù)據(jù),傳輸宜先進行加密后傳輸。APP源代碼存儲與備份有條件的金融機構(gòu)宜關(guān)注源代碼在存儲與備份過程中的風險識別與管控:源代碼倉庫服務器、開發(fā)終端服務器宜在金融機構(gòu)本地化部署。源代碼上傳至源代碼倉庫服務器存儲時宜支持加密存儲。源代碼銷毀有條件的金融機構(gòu)在源代碼銷毀流程中宜做好管控和監(jiān)督:銷毀源代碼備份介質(zhì)時,宜按流程審批并登記,由運行監(jiān)督人員執(zhí)行相關(guān)操作。安全審計及監(jiān)督檢查有條件的金融機構(gòu)宜做好源代碼管理的相關(guān)安全審計工作以保障各個環(huán)節(jié)管控的有效:宜與外包公司簽訂信息安全責任協(xié)議,是否在合同期均應及時修復安全漏洞。宜定期開展源代碼管理軟件用戶審計跟蹤,監(jiān)測和審查用戶對源代碼的訪問活動。宜定期開展敏感數(shù)據(jù)掃描,防止敏感信息違規(guī)存儲。宜定期檢查技術(shù)人員本地終端,防止違規(guī)存儲源代碼。宜在可信開發(fā)測試環(huán)境加裝視頻監(jiān)控系統(tǒng),并定期開展審計監(jiān)督。參?考?文?獻《金融行業(yè)網(wǎng)絡安全等

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論