1、2023 年金融机构应用系统安全测试体系建设调研报告（内部资料.注意保存）中国计算机用户协会信息科技审计分会2023 年金融机构应用系统安全测试体系建设调研报告征求意见稿1目 录目录.1前言.31、.金融机构应用系统安全建设概述.51.1、金融行业应用系统安全的概述.51.2、金融行业应用系统安全面临的挑战.51.3、金融行业应用系统安全的解决方案.61.4、金融行业应用系统安全的未来展望.61.5、应用系统安全测试体系建设对金融机构的意义.82、.金融机构应用系统安全测试调研情况分析.82.1、.调研目的.82.2、.调研问卷设计及统计方法.92.3、.问卷回收情况.93、.调研数据分析.1

2、13.1、.应用系统安全测试组织架构.113.1.1、.负责应用系统安全部门情况统计.113.1.2、.自有应用安全测试团队人员规模情况分析.113.1.3、.各机构外协应用系统安全测试人员规模.123.1.4、.应用系统安全测试领域每年的资金投入量级.133.2、.互联网应用系统安全测试需求.143.2.1、.各机构提供服务的互联网应用系统数量.143.2.2、.C/S 架构应用的安全测试需求.143.2.3、.开展应用系统安全测试的计划.153.2.4、.提供服务的互联网应用类型.163.2.5、.互联网应用中 APP 和小程序占比.163.2.6、.互联网应用服务涵盖的业务范围.173.

3、2.7、.互联网应用服务发布/更新频次.173.2.8、.互联网应用上线后的安全测试频率.183.2.9、.安全测试对互联网应用系统的覆盖情况.193.3、.非互联网应用系统安全测试需求.192023 年金融机构应用系统安全测试体系建设调研报告征求意见稿23.3.1、.各机构提供服务的非互联网应用系统数量.193.3.2、.内部应用系统安全测试团队建设情况.203.3.3、.内部应用上线后进行安全测试的频率.213.3.4、.安全测试对内部应用系统的覆盖情况.213.4、.各机构应用系统安全测试质量管理情况.223.4.1、.应用安全测试质量对安全管理需求的满足情况.223.4.2、.各单位当

4、前的应用安全测试管理水平.233.4.3、.软件安全开发全流程（SDLC）建立情况.233.4.4、.目前已经采用的应用安全测试方式.243.4.5、.应用安全测试过程中重点关注的内容.243.4.6、.以往开展的应用安全测试过程中主要检查的内容.253.4.7、.平均每人天检测出的应用服务上线前安全缺陷数量.263.4.8、.平均每人天检测出的应用服务上线后漏洞数量.263.4.9、.应用安全测试工具及其主要来源.263.4.10、.对应用安全测试的审计情况.273.5、.各机构应用系统安全测试标准化程度.283.5.1、.应用安全测试标准或规范建立情况.283.5.2、.测试人员实施或培训

5、技术指南形成情况.283.5.3、.应用安全测试质量衡量准则建立情况.293.5.4、.应用系统安全测试中使用的标准和规范.303.6、.各机构应用系统安全测试待解决问题.303.6.1、.应用安全测试过程中经常遇到的问题.303.6.2、.应用安全测试工作最大的难点.313.6.3、.希望分会提供的应用安全测试领域服务.324、.对金融机构应用系统安全测试体系建设的建议.324.1、.金融机构应用系统安全的发展趋势.324.2、.加强应用系统安全测试规范性建设.334.3、.建立科学、规范、安全的应用系统开发上线流程.334.4、.建立科学、高效的应用系统安全测试标准并定期更新.344.5、

6、.加强组织建设和人员能力提升.344.6、.建议并逐步完成软件安全开发全生命周期流程.355、.报告编写团队.362023 年金融机构应用系统安全测试体系建设调研报告征求意见稿3前 言2023 年 2 月 3 日至 3 月 15 日开展了会员走访和调研，征询会员单位对分会 2023 年工作计划的建议，收集会员对团体标准建设和应用的意见.本次调研共走访 28 家会员单位，其中银行 16 家，其中国有大型银行 3 家，股份制银行 7家、城商行 1 家、农商行 2 家、民营银行 1 家、合资银行 1 家、外资银行 1 家，保险机构 2 家，非银机构 1 家，大学机构 1 家，科技企业 7 家、第三方