JRT0290-2024金融业开源软件应用管理指南.pdf

ICS35.240.20

CCSA11

JR

中华人民共和国金融行业标准

JR/T0290—2024

金融业开源软件应用管理指南

Opensourcesoftwareapplicationsinfinancialindustry—Management

guidelines

2024-01-15发布2024-01-15实施

中国人民银行  发布

JR/T0290—2024

金融业开源软件应用管理指南

1范围

本文件提供了金融机构在应用开源软件时的全流程管理指南，对开源软件的使用和管理提供了配套

组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导。

本文件适用于金融机构规范自身对开源软件引入、使用及退出的过程管理以及风险管控。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

GB/T28458—2020信息安全技术网络安全漏洞标识与描述规范

GB/T30276—2020信息安全技术网络安全漏洞管理规范

GB/T30279—2020信息安全技术网络安全漏洞分类分级指南

JR/T0289—2024金融业开源技术术语

JR/T0291—2024金融业开源软件应用评估规范

3术语和定义

JR/T0289—2024界定的术语和定义适用于本文件。

4管理架构

开源软件管理架构如图1所示，其中包括配套组织架构、配套管理规章制度、生命周期流程管理、

风险管理、存量管理和工具化管理等6部分内容，覆盖2个制度要素和3个技术管理流程，宜配置1

个管理工具。金融机构可通过对以下3个层面的管理效果开展成熟度自评估，不断完善整体技术管理能

力。

a）制度层面：在配套组织架构和配套管理规章制度上设置针对开源软件应用的管理要求。

b）流程层面：在开源软件从引入到退出的生命周期流程管理、风险管理和存量管理等3个方面提

出管理要求。

c）工具层面：宜通过构建基础设施支撑开源软件管理，引入或搭建自动化工具提高管理效率。

1

JR/T0290—2024

图1开源软件管理架构

5配套组织架构

5.1总则

金融机构宜健全开源软件应用管理的配套组织架构，明确职责分工。配套组织架构中主要包括决策

团队和管理团队。

5.2决策团队

决策团队第一负责人宜为金融机构技术条线总责任人，负责决策和发布开源软件应用管理规章制度、

管理流程和管理策略。

5.3管理团队

管理团队可为实体组织或虚拟型组织，负责制定和执行开源软件管理规章制度和管理流程，至少包

含以下岗位人员及岗位职责。

a）专项人员：负责起草与维护开源软件管理规章制度和管理流程，并负责开源软件全生命周期日

常管理的具体工作。

b）技术人员：负责对各类开源软件开展技术评估与运行维护工作。

c）安全人员：负责识别和跟踪开源软件安全漏洞风险和修复情况，实现全程可视、可追溯。

d）法务合规人员：针对开源软件引入和使用过程中所涉及的知识产权等法律问题，负责给出专业

的法律建议，提供法务支持。

在管理团队中，除法务合规人员外，其余岗位人员及岗位职责可根据金融机构内部实际资源配置情

况，选择职责兼并、一岗多责等形式建立和完善配套组织架构。