GB/T 42926-2023《金融信息系统网络安全风险评估规范》将于12月1日施行【附文件下载】

本标准共计：62页。完整版PDF电子版文件下载方式见文末。

随着金融与科技融合成为新趋势,云计算、大数据、物联网、移动互联、人工智能等新型金融科技应用场景呈爆发式增长,金融信息系统面临复杂多变的网络安全威胁和日趋严峻的网络安全形势,开展金融信息系统网络安全风险评估有助于全面分析金融信息系统面临的威胁、存在的脆弱性以及风险等级,并基于风险评估结果开展风险处理工作。

2023年8月6日，国家标准《金融信息系统网络安全风险评估规范》（GB/T 42926-2023）（以下简称《金融系统风评规范》）由国家市场监督管理总局和国家标准化管理委员会正式发布，12月1日正式实施。

 

为了更好地适应金融科技变革,金融信息系统网络安全风险评估体系也需进一步完善。《金融系统风评规范》在成熟的风险评估方法论基础上,结合金融信息系统特点以及信息系统安全建设需求,提出面向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险分析方法,为金融信息系统网络安全风险评估提供指导。

本文件确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。

 

 

金融信息系统网络安全风险评估工作要点与要素

 

1、工作要点

金融信息系统作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统,具有及时性、可靠性、连续性、开放性、保密性、完整性、准确性等特点,针对这些特点在实施风险评估时着重考虑以下工作要点:

• 风险要素充分结合业务要求,增加业务要素与资产、脆弱性、威胁和风险等要素关系;

• 识别信息系统在及时性、连续性、可靠性、保密性、完整性等方面存在的脆弱性;

• 准确给出金融信息系统风险状况,提出量化的风险计算公式和风险等级区间。

2、风险评估要素

风险评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险。风险评估围绕基本要素展开,在对基本要素评估过程中宜充分考虑与基本要素相关的各类属性。风险评估基本要素关系如图1所示。

 

 

开展风险评估时,基本要素之间的关系如下:
a)业务的开展需要资产作为支撑;
b)资产存在脆弱性,脆弱性越多则风险越大;
c)威胁利用脆弱性增加风险,可能演变成为安全事件从而对资产和业务造成潜在影响;
d)安全措施的实施通过降低资产脆弱性被利用的难易程度,抵御威胁,减少风险,保障业务运行。

 

 

金融信息系统网络安全风险评估原理

 

风险评估原理如下:
a)基于威胁的种类、来源、动机及能力,结合威胁发生的时机和频率确定威胁出现的可能性;
b)将脆弱性与已实施的安全措施关联分析后确定脆弱性被利用的可能性;
c)根据威胁出现的可能性及脆弱性被利用的可能性确定安全事件发生的可能性;
d)根据资产在业务开展中的作用,将资产与业务关联分析后确定资产重要性;
e)根据脆弱性的严重程度及其作用的资产重要性确定安全事件造成的损失;
f)根据安全事件发生的可能性以及安全事件造成的损失,确定被评估对象面临的风险。

 

 

金融信息系统网络安全风险评估输出文档

 

风险评估各阶段主要输出文档如下所述(包括但不限于）：

• 评估准备阶段输出文档：风险评估方案,该方案主要阐述风险评估目标、范围、人员、评估方法、评估结果的形式和实施进度等。

• 识别阶段输出文档:

• 资产识别清单：根据组织所确定的资产分类方法进行资产识别形成资产识别清单(包括业务资产、系统资产、系统组件和单元资产),明确资产的责任人和责任部门;
  重要资产列表:根据资产识别和赋值的结果形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人、责任部门等;

• 威胁列表：根据威胁识别和赋值的结果形成威胁列表,包括威胁来源、种类、威胁行为、能力和频率等;

• 有安全措施列表：对已采取的安全措施进行识别并形成已有安全措施列表,包括已有安全措施名称、类型、功能描述及实施效果等;

• 脆弱性列表：根据脆弱性识别和赋值的结果形成脆弱性列表,包括具体脆弱性的名称、描述、类型、被利用可能性及影响程度等;
  风险列表：根据威胁利用脆弱性导致安全事件的情况形成风险列表,包括具体风险的名称、描述等。

• 风险计算及处理阶段输出文档。

• 风险评估报告：对风险分析阶段工作进行总结。风险评估报告中需要对建立的风险分析模型进行说明,并需要阐明采用的风险计算方法与风险评价方法。报告中应对计算分析出的风险给予详细说明,主要包括:风险对组织、业务及系统的影响范围、影响程度、依据的法规和证据、风险评价结论等。

• 风险评估记录：风险评估过程中的各种现场记录应可复现评估过程,以作为产生歧义后解决问题的依据。

   

 

<p style="margin: 0px 0px 24px;padding: 0px;outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;clear: both;min-height: 1em;color: rgba(0, 0, 0, 0.9);font-family: system-ui, -apple-system, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;font-size:="" 17px;font-style:="" normal;font-variant-ligatures:="" normal;font-variant-caps:="" normal;font-weight:="" 400;letter-spacing:="" 0.544px;orphans:="" 2;text-indent:="" 0px;text-transform:="" none;white-space:="" normal;widows:="" 2;word-spacing:="" 0px;-webkit-text-stroke-width:="" 0px;text-decoration-thickness:="" initial;text-decoration-style:="" initial;text-decoration-color:="" initial;background-color:="" rgb(255,="" 255,="" 255);text-align:="" left;visibility:="" visible;"="">本报告共计：62页。受篇幅限制,仅列举部分内容。

戳“金融系统风评规范”下载该标准。