申報企業(yè)：上交所技術(shù)有限責(zé)任公司

2020年CIO智選金融行業(yè)應(yīng)用獎

本方案以安全開發(fā)生命周期為依據(jù)建設(shè)相關(guān)管理規(guī)范，包括安全需求、開發(fā)規(guī)范等管理制度，通過代碼審計、滲透測試等白盒、黑盒的安全檢測手段，提高開發(fā)系統(tǒng)的安全基線，降低在上線后發(fā)現(xiàn)漏洞的整改成本。同時，建設(shè)安全管理平臺，實現(xiàn)自動化多工具上線安全檢測的能力，減少人工干預(yù)，同時保障系統(tǒng)在開發(fā)階段的安全性。最終，通過安全管理平臺將交付文檔可視化，便于信息的展示和查詢。

獲獎理由

本方案建立了一套符合實際情況的安全管理規(guī)范，通過目標系統(tǒng)規(guī)范實踐，明確安全需求庫以及安全測試規(guī)范和安全測試指引等規(guī)范文檔;

本方案通過事前的安全檢測和事后的應(yīng)急響應(yīng)工作，有效提升了業(yè)務(wù)系統(tǒng)的安全基線;

本方案基于安全需求庫及各階段輸出的安全漏洞和安全報告，建立了一套安全管理平臺，可進行相關(guān)信息的查詢與展示;

本方案基于現(xiàn)有環(huán)境開發(fā)部署一套安全開發(fā)運維平臺，以安全開發(fā)規(guī)范體系中的安全標準為輸入，整合多種安全工具輸出一份綜合報表，實現(xiàn)了安全檢測自動化與制度落地。