全网唯一标准王
ICS35.240.20 CCSA11 JR 中华人民共和国金融行业标准 JR/T0290—2024 金融业开源软件应用管理指南 Opensourcesoftwareapplicationsinfinancialindustry—Management guidelines 2024-01-15发布 2024-01-15实施 中国人民银行  发布JR/T0290—2024 I目次 前言..................................................................................II 引言.................................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4管理架构.............................................................................1 5配套组织架构.........................................................................2 6配套管理规章制度.....................................................................2 7生命周期流程管理.....................................................................3 8风险管理.............................................................................6 9存量管理.............................................................................7 10工具化管理..........................................................................7 11开源软件应用管理评估方法............................................................8 参考文献..............................................................................11JR/T0290—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由北京金融科技产业联盟提出。 本文件由全国金融标准化技术委员会(SAC/TC180)归口。 本文件起草单位:中国人民银行科技司、北京金融科技产业联盟、上海浦东发展银行股份有限公司、 中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份 有限公司、中国邮政储蓄银行股份有限公司、平安银行股份有限公司、深圳前海微众银行股份有限公司、 中国光大银行股份有限公司、北京国家金融标准化研究院有限责任公司、中信百信银行股份有限公司、 浙江网商银行股份有限公司、中国银联股份有限公司、网联清算有限公司、华为技术有限公司、腾讯云 计算(北京)有限责任公司、阿里云计算有限公司。 本文件主要起草人:李伟、陈立吾、周祥昆、詹志建、刘帅、潘润红、聂丽琴、胡达川、李寻、万 化、杨欣捷、弓豪怡、江一鸣、徐翥、孙刚、刘阳、闫晓林、刘建珍、王丽静、黄凯、金磐石、李鑫、 胡军锋、张兰英、朱礼华、冯志强、郝巍、杜胜、丛洋、刘玉花、周夕崇、谢彦丽、张晋钰、李佳凝、 薄舜添、周欢、辛子英、陆碧波、赵峰、边思康、周继恩、弓祎斌、杨阳、郭林、薛松源、吴涛、白阳、 耿航、董宾、陈明、胡伟琪、王晶昱。JR/T0290—2024 III引言 开源软件与传统闭源软件相比,在技术安全与运维等方面存在较多外部影响因素,可能导致安全合 规问题。因此金融机构在应用开源软件时,宜对开源软件进行体系化的统一管理,提高应用效率,降低 潜在风险。 本文件旨在针对开源软件特性提出对应的全流程管理方法,提升金融机构开源软件管理能力,控制 开源软件应用风险。本文件可作为金融机构开源软件应用管理的参考标准,也可作为行业主管部门开展 相关工作的参考依据。JR/T0290—2024 1金融业开源软件应用管理指南 1范围 本文件提供了金融机构在应用开源软件时的全流程管理指南,对开源软件的使用和管理提供了配套 组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导。 本文件适用于金融机构规范自身对开源软件引入、使用及退出的过程管理以及风险管控。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T28458—2020信息安全技术网络安全漏洞标识与描述规范 GB/T30276—2020信息安全技术网络安全漏洞管理规范 GB/T30279—2020信息安全技术网络安全漏洞分类分级指南 JR/T0289—2024金融业开源技术术语 JR/T0291—2024金融业开源软件应用评估规范 3术语和定义 JR/T0289—2024界定的术语和定义适用于本文件。 4管理架构 开源软件管理架构如图1所示,其中包括配套组织架构、配套管理规章制度、生命周期流程管理、 风险管理、存量管理和工具化管理等6部分内容,覆盖2个制度要素和3个技术管理流程,宜配置1 个管理工具。金融机构可通过对以下3个层面的管理效果开展成熟度自评估,不断完善整体技术管理能 力。 a)制度层面:在配套组织架构和配套管理规章制度上设置针对开源软件应用的管理要求。 b)流程层面:在开源软件从引入到退出的生命周期流程管理、风险管理和存量管理等3个方面提 出管理要求。 c)工具层面:宜通过构建基础设施支撑开源软件管理,引入或搭建自动化工具提高管理效率。JR/T0290—2024 2图1开源软件管理架构 5配套组织架构 5.1总则 金融机构宜健全开源软件应用管理的配套组织架构,明确职责分工。配套组织架构中主要包括决策 团队和管理团队。 5.2决策团队 决策团队第一负责人宜为金融机构技术条线总责任人,负责决策和发布开源软件应用管理规章制度、 管理流程和管理策略。 5.3管理团队 管理团队可为实体组织或虚拟型组织,负责制定和执行开源软件管理规章制度和管理流程,至少包 含以下岗位人员及岗位职责。 a)专项人员:负责起草与维护开源软件管理规章制度和管理流程,并负责开源软件全生命周期日 常管理的具体工作。 b)技术人员:负责对各类开源软件开展技术评估与运行维护工作。 c)安全人员:负责识别和跟踪开源软件安全漏洞风险和修复情况,实现全程可视、可追溯。 d)法务合规人员:针对开源软件引入和使用过程中所涉及的知识产权等法律问题,负责给出专业 的法律建议,提供法务支持。 在管理团队中,除法务合规人员外,其余岗位人员及岗位职责可根据金融机构内部实际资源配置情 况,选择职责兼并、一岗多责等形式建立和完善配套组织架构。 6配套管理规章制度 6.1生命周期管理

.pdf文档 JR-T 0290 2024 金融业开源软件应用 管理指南

文档预览
中文文档 17 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共17页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
JR-T 0290 2024 金融业开源软件应用 管理指南 第 1 页 JR-T 0290 2024 金融业开源软件应用 管理指南 第 2 页 JR-T 0290 2024 金融业开源软件应用 管理指南 第 3 页
下载文档到电脑,方便使用
本文档由 人生无常 于 2025-07-26 19:55:13上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。