一、软件安全开发度量指标的定义与作用 (一)什么是软件安全开发度量指标 银监会在发布的《商业银行操作风险管理指引》中,将度量指标定义为“代表某一风险领域变化情况并可定期监控的统计指标”。软件安全开发度量指标可用于监测系统开发过程中以及系统上线后发现的各项风险及控制措施,并作为反映风险变化情况的早期预警指标,开发团队以及安全团队可根据预警信息及早采取措施,提升开发安全质量,防范应用及系统安全风险。 (二)软件安全开发度量指标的作用 安言咨询建立完善的软件安全开发度量指标可以为全面风险管理实施提供切实的支持,并可以在如下三方面实现显著提升。 1.提高风险监控的及时性 软件安全开发度量指标的首要用途是可以帮助客户方内部在不需要进行复杂的模型运算的前提下,就可以及时了解风险暴露的变化状况。显然对于软件安全开发度量指标的监测频率可以远远高于计算经济资本的频率。这种及时性可以显著提升客户方内部对于风险趋势的把握能力。 2.提高经营决策的前瞻性 对于软件安全开发度量指标的持续监测和分析,安言咨询可以帮助客户方内部有效把握各...