能力成熟度安全及风险管理首批试评估结果公布(组图)

编者按：从各大企业的实践来看，标准化和工具赋能是科技公司成功的关键所在。标准本身是最佳实践的集合，有了标准，每一步都离目标更近（而不是偏离），将标准固化在工具里，重点关注人员、流程和产品，并已经在企业和交付环节持续取得成功，获得良性反馈和循环。从安全角度来看，有助于创建“一种协作文化，通过减少生产环境的变化来降低风险”。 #

今年12月23日，为提高企业IT治理水平，加强行业内经验交流分享，2022 GOLF+ IT新治理领导力论坛在北京召开！本次大会旨在“让IT治理‘融惠’科技创新”，围绕“治效赋能，领航科技新生态”和“ XOPS 聚力，引领运维新风向”两大主题展开。大会隆重发布了能力成熟度安全及风险管理首批试评估结果。华泰证券股份有限公司（以下简称华泰证券）参评的项目为数据科学开发平台，该项目顺利通过由中国信息通信研究院（以下简称信通院）开展的《研发运营一体化（）能力成熟度模型》安全及风险管理（标准）安全运营模块2级评估，代表着华泰证券在该业务系统的安全运营能力达到国内先进水平。

#

此前，华泰证券CRM营销中心、 通过了持续交付标准3级评估，华泰证券涨乐财富通交易服务通过了技术运营标准2级评估（相关新闻稿链接详见文末）。 #

评测单位：中国信息通信研究院 #

中国通信标准化协会副理事长兼常务副秘书长代晓慧女士、中国信息通信研究院云计算与大数据研究所所长何宝宏博士共同为企业授牌：

▲评估结果公布现场

此次，我们采访了华泰证券信息技术部联席负责人陈栋先生和华泰证券信息技术部数据科学研发中心负责人孔亚洲先生华泰证券网络学院，一同聊一下华泰证券数据科学开发平台项目参与评估的故事，分享华泰证券 落地实践的经验。 #

-Q&A- #

华泰证券信息技术部联席负责人陈栋 #

华泰证券信息技术部数据科学研发中心负责人孔亚洲

Q：您好，请介绍一下您和您的企业，以及此次参与评估的项目。陈：华泰证券股份有限公司是一家领先的科技驱动型证券集团。自 1991 年成立以来，公司积极把握中国资本市场改革开放的历史机遇，以金融科技助力转型，用全业务链资源为投资者提供专业的金融服务，综合实力位居国内证券业第一方阵。随着公司全球存托凭证在伦敦证券交易所上市，公司成为一家在上海、香港和伦敦三地上市的中国金融机构，步入国际化发展的全新阶段。 #

孔：此次参与评估的数据科学开发平台，是数据中台的核心工具平台，提供数据开发、调度编排、数据 API、部署发布等功能。数据中台是金融数据能力共享平台，核心是把数据转换为资产，打破数据孤岛，建立完整数据生态。通过工具平台，形成从数据接入到应用全链路的数据管理和服务体系。

Q：恭喜您通过 标准评估，此次贵公司项目通过的是安全及风险管理（）标准中安全运营 2 级，表明达到了国内先进水平，可以分享您的感受吗？

陈：非常高兴可以成为首批通过 安全及风险管理评估的公司, 这是对我们在 数字化转型过程中安全风险管理方面工作的肯定和证明。华泰证券从 2022 年就开始 的研究和落地实践，评估过程中我们也得到了专家的充分肯定和认可，表明我们在 实践层面已经走在了前列，这是对我们安全风险管理水平的认可，我们会在此领域持续改进和完善，更好的管理在研发运营过程中面临的信息安全风险。

孔：项目通过 标准评估，说明数据科学开发平台的安全风险管理水平已经达到了较高的水位，这是对我们重视数据保护工作的认可，也是对大家持续共建数据中台安全努力的肯定。 #

Q：贵公司是如何决定参与 标准评估工作中的？ #

陈：我们在 2022 年就开始推动敏捷化转型, 取得了不错的效果。但是 的快速迭代也带来了大量的安全风险，传统的安全运营模式已经成为了阻碍了业务的快速交付，因此我们从文化、流程及技术三方面探索，实践并落地了 ，通过文化倡导、流程优化、人员协作以及工具化、自动化技术手段将安全无缝内嵌到软件开发生命周期每一个阶段，也取得了很好的效果华泰证券网络学院，但是我们希望有标准来衡量当前的安全风险管理成熟度，了解与其他领先企业的差距，发现自身的不足，以便进行针对性的改进，这是我们参与 标准评估的主要原因，同时该标准对于如何落地 具有明确的方向和很好的实践指导, 对我们有很大的帮助, 这也更加坚定了我们参与标准评估工作的信心。 #

Q：贵公司之前已经通过其他标准，请问通过多个标准的原因是什么？

陈：华泰之前有两个项目通过了 标准持续交付的 3 级评估，以及一个项目首批通过了技术运营 2 级评估。我们近几年来一直都在坚持 转型，所以在变更管理、发布周期、自动化测试、度量反馈等等一些方面，已经有了一定的基础。而在参与标准的评估过程中，可以体系化的对 全过程进行审视，分析差距并进行针对性改进，缩小和业界领先的差距，这是我们参与多个标准的原因。

Q：通过安全及风险管理标准（标准）的评估给您的企业带来了什么收获？

#

陈：首先, 通过 的标准评估, 是对我们工作的肯定和认可, 证明了我们在 转型过程中，具备全面和领先的安全风险管理水平。 #

其次, 通过参与标准评估的过程, 使我们更加系统地了解了的理念及落地步骤,同时在评估过程中也发现了诸多可以提升的地方, 为我们后续工作提供了参考和指导。

最后, 通过这次评估, 使开发、运维、安全团队有了更加紧密的配合, 在相关合作和流程等方面达成了很多的共识, 为以后的工作的开展增加了很多的经验, 提升了组织级效率。 #

Q：对于此次参评的项目哪些特色？在日常安全风险的管理方面，面临哪些安全挑战？

#

孔：数据科学开发平台提供基于Web的项目开发，包括代码开发、模型开发、工作流编排、调度配置等功能；并提供离线数据探索和模型在线训练服务，为投研、资管等业务提供离线数据开发和数据API服务。数据科学开发平台提供准生产和生产两种开发环境，支持华泰自有人员和第三方外包同时使用。

由于平台涉及到大量的数据资产，且面向人员较多，因此平台在用户管理、认证、权限管理、日志与审计等方面都有更高的安全要求，并且安全保障也需要跟上版本快速迭代的步伐。 #

Q：目前国内的 落地仍然处于发展阶段，贵公司达到国内先进水平，请问贵司此次通过准备评估遇到哪些困难？如何解决的？

陈：我们这次在评估的过程中, 对评估的相关标准进行了学习和研究,这几年来，在各个领域我们已经做了很多工作, 比如安全工具链建设, 安全监控, 基础设施管理, 第三方管理等方面, 我们这几年一直致力于推进在 中的集成和整合, 所以评估过程还是相对顺利的。 #

孔：项目在试评估时，发现一些地方还是存在一些差距，比如项目安全度量指标的自动化展示及项目漏洞的自动化反馈机制等，为此专门成立了 过级攻关小组，进行评估项的整改, 达到了标准评估的要求。

Q： 核心理念为安全是整个 IT 团队（包括开发、运维及安全团队）每个人的责任，是否可以详细的给我们介绍下，贵司是如何从文化、流程及技术三方面落地 的？陈：文化方面，通过安全意识宣贯、安全培训、网络学院、培养安全积极分子以及安全顾问沟通等形式，对研发及运维人员进行软件生命周期安全开发实践的推广，并明确项目安全建设过程中涉及的干系人的主要活动、职责和义务，让研发及运维人员意识到安全是整个IT团队每个人的责任。流程方面，建立了完善的软件安全开发生命周期管理体系，与研发过程结合，采取安全顾问赋能方式，将安全内建到项目的生命周期每个阶段，并流程化跟踪项目安全建设中的各项安全活动。技术方面， 我们初步建立了端到端完整的安全工具链，并自动化集成到 流程中。如在工具自动化部分，主要有 DEV 环境的源代码安全扫描SAST、开源组件安全扫描 SCA、移动 APP 加固，SIT 阶段的 安全扫描、黑盒安全扫描 DAST 及交互式安全扫描 IAST。

Q：安全与风险管理标准对于企业安全风险管控能力提升提供了有效的指引，请问贵司对于 落地实践的下一步计划是什么？ #

孔：首先，根据标准对照自身实现，分析差距，继续向 3 级以上级别要求靠拢。其次，我们这次通过的是安全与风险管理标准中的通用风险和安全运营，还有安全开发及安全交付的标准我们也会进行学习研究，进行提升改进。 #

陈：我们会持续推进 的体系化建设和落地实践，比如建设 SDL 全流程赋能平台、自动化安全测试平台、应用安全风险画像等，我们致力于通过技术的手段进行安全赋能，持续提升 效能。

#

华泰证券数据科学开发平台项目评估现场图：

#

华泰证券数据科学开发平台项目介绍：

数据科学开发平台支持代码开发，可通过调度任务，实现离线的数据ETL处理与数仓构建并可以通过数据API提供服务。 #

使用语言对数据进行分析建模，提供容器化的在线IDE，支持和在线编译，无缝支持数据开发工作。

#

提供强大的API服务的运维能力，支持7大指标的实时监控、实例缩扩容、历史日志查看和监控告警。

#

数据科学开发平台流水线详情： #

华泰证券已经建立完善的软件安全开发生命周期管理体系，在研发运营一体化过程的各个阶段均开展了相应的安全活动。 #

应用系统在软件安全开发生命周期中涉及的安全活动干系人： #

核心理念之一，是要工具化和自动化，所以工具必不可少。华泰证券已经初步建立了端到端完整的安全工具链，并自动化集成到流程中。

研发运营一体化（）能力成熟度模型介绍：《研发运营一体化（）能力成熟度模型》系列标准是由中国信息通信研究院牵头，云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 系列标准，由中国信息通信研究院主导的标准已在中国通信标准化协会（CCSA）立项在研。与此同时， 标准已于今年7月在联合国直属标准化组织 ITU-T 正式结项，成为全球首个 国际标准。 标准评估体系主要包括敏捷开发管理、持续交付、技术运营、应用设计、安全及风险管理、系统和工具等部分。 #

标准评估相关事宜，请联系： #

中国信息通信研究院@刘凯铃 #

电话：（同微信）邮箱：

高效运维社区@东辉 #

电话：(同微信)邮箱： #