GB/T 42926-2023金融信息系统网络安全风险评估规范

ICS03060

CCSA.11

中华人民共和国国家标准

GB/T42926—2023

金融信息系统网络安全风险评估规范

Specificationoffinancialinformationsystemcybersecurityriskassessment

2023-08-06发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T42926—2023

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

风险评估工作要点和原则

5………………2

工作要点

5.1……………2

工作原则

5.2……………2

风险评估要素及原理

6……………………2

风险评估要素

6.1………………………2

风险评估原理

6.2………………………3

风险评估阶段性工作

7……………………4

准备阶段

7.1……………4

识别阶段

7.2……………5

风险计算及处理阶段

7.3………………11

附录资料性评估参考样例

A()…………15

网络安全制度防护脆弱性评估分

A.1(235)…………15

网络安全技术防护脆弱性评估分

A.2(258)…………29

附录资料性资产识别与赋值表

B()……………………49

附录资料性信息系统威胁赋值方法

C()………………52

附录资料性信息系统脆弱性赋值方法

D()……………53

层面脆弱性评估与赋值

D.1……………53

信息系统脆弱性评估与赋值

D.2………………………54

附录资料性信息系统脆弱性被利用可能性赋值方法

E()……………56

附录资料性信息系统的资产风险列表

F()……………57

参考文献

……………………58

GB/T42926—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国金融标准化技术委员会归口

(SAC/TC180)。

本文件起草单位中国金融电子化集团有限公司北京国家金融科技认证中心有限公司北京天融

:、、

信网络安全技术有限公司中国工商银行股份有限公司亚信科技成都有限公司

、、()。

本文件主要起草人张海燕唐辉高强裔潘丽扬张璐张澍杨剑孟宪哲李吉金红月李者龙

:、、、、、、、、、、。

Ⅰ

GB/T42926—2023

引言

随着金融与科技融合成为新趋势云计算大数据物联网移动互联人工智能等新型金融科技应

,、、、、

用场景呈爆发式增长金融信息系统面临复杂多变的网络安全威胁和日趋严峻的网络安全形势开展金

,,

融信息系统网络安全风险评估有助于全面分析金融信息系统面临的威胁存在的脆弱性以及风险等

、

级并基于风险评估结果开展风险处理工作为了更好地适应金融科技变革金融信息系统网络安全风

,。,

险评估体系也需进一步完善

。

本文件在成熟的风险评估方法论基础上结合金融信息系统特点以及信息系统安全建设需求提出

,,

面向金融业务和金融信息系统共性的网络安全风险评估模型流程和风险分析方法为金融信息系统网

、,

络安全风险评估提供指导

。

Ⅱ

GB/T42926—2023

金融信息系统网络安全风险评估规范

1范围

本文件确立了风险评估工作的要点原则要素和原理规定了风险评估准备阶段识别阶段风险

、、,、、

计算及处理阶段工作的要求

。

本文件适用于金融管理部门金融业机构和网络安全风险评估服务机构开展金融信息系统网络安

、

全风险评估工作

。

注本文件条款中的风险评估均指金融信息系统网络安全风险评估

:“”“”。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术信息系统安全管理要求

GB/T20269—2006

信息安全技术信息安全风险评估方法

GB/T20984—2022

信息安全技术网络安全等级保护定级指南

GB/T22240—2020

信息安全技术术语

GB/T25069—2022

信息安全技术信息安全风险评估实施指南

GB/T31509—2015

3术语和定义