标准解读
《GB/T 42926-2023 金融信息系统网络安全风险评估规范》是一项国家标准,旨在为金融机构提供一套系统化的网络安全风险评估方法。该标准详细规定了从准备阶段到实施、分析直至报告编写整个过程中的具体步骤和要求,确保能够全面识别、量化并管理金融信息系统中可能存在的安全威胁与脆弱性。
根据文件内容,首先明确了风险评估的基本原则,包括但不限于客观性、全面性和动态调整等。随后,定义了一系列关键术语,如资产、威胁源、脆弱性及影响程度等概念,并对它们进行了详细的解释说明,为后续章节打下理论基础。
在准备阶段,强调了制定风险评估计划的重要性,这涉及到确定评估范围、选择合适的评估方法以及组建专业团队等方面。此外,还要求收集关于被评估系统的相关信息,比如网络架构图、设备清单等,以便于后续工作的开展。
进入实际操作环节后,《GB/T 42926-2023》提出了多种可用于识别潜在风险的技术手段,包括但不限于问卷调查法、访谈法和技术检测法等。通过这些方式可以较为准确地发现系统中存在的问题点,并对其进行初步分类整理。
接下来是风险分析部分,此阶段需结合之前收集到的数据信息,运用定性或定量的方法来评估每项已识别风险发生的可能性及其一旦发生可能造成的损害程度。同时,还需要考虑现有控制措施的有效性,在此基础上综合判断整体风险水平。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2023-08-06 颁布
- 2023-12-01 实施
文档简介
ICS03060
CCSA.11
中华人民共和国国家标准
GB/T42926—2023
金融信息系统网络安全风险评估规范
Specificationoffinancialinformationsystemcybersecurityriskassessment
2023-08-06发布2023-12-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T42926—2023
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………1
风险评估工作要点和原则
5………………2
工作要点
5.1……………2
工作原则
5.2……………2
风险评估要素及原理
6……………………2
风险评估要素
6.1………………………2
风险评估原理
6.2………………………3
风险评估阶段性工作
7……………………4
准备阶段
7.1……………4
识别阶段
7.2……………5
风险计算及处理阶段
7.3………………11
附录资料性评估参考样例
A()…………15
网络安全制度防护脆弱性评估分
A.1(235)…………15
网络安全技术防护脆弱性评估分
A.2(258)…………29
附录资料性资产识别与赋值表
B()……………………49
附录资料性信息系统威胁赋值方法
C()………………52
附录资料性信息系统脆弱性赋值方法
D()……………53
层面脆弱性评估与赋值
D.1……………53
信息系统脆弱性评估与赋值
D.2………………………54
附录资料性信息系统脆弱性被利用可能性赋值方法
E()……………56
附录资料性信息系统的资产风险列表
F()……………57
参考文献
……………………58
GB/T42926—2023
前言
本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定
GB/T1.1—2020《1:》
起草
。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
。。
本文件由全国金融标准化技术委员会归口
(SAC/TC180)。
本文件起草单位中国金融电子化集团有限公司北京国家金融科技认证中心有限公司北京天融
:、、
信网络安全技术有限公司中国工商银行股份有限公司亚信科技成都有限公司
、、()。
本文件主要起草人张海燕唐辉高强裔潘丽扬张璐张澍杨剑孟宪哲李吉金红月李者龙
:、、、、、、、、、、。
Ⅰ
GB/T42926—2023
引言
随着金融与科技融合成为新趋势云计算大数据物联网移动互联人工智能等新型金融科技应
,、、、、
用场景呈爆发式增长金融信息系统面临复杂多变的网络安全威胁和日趋严峻的网络安全形势开展金
,,
融信息系统网络安全风险评估有助于全面分析金融信息系统面临的威胁存在的脆弱性以及风险等
、
级并基于风险评估结果开展风险处理工作为了更好地适应金融科技变革金融信息系统网络安全风
,。,
险评估体系也需进一步完善
。
本文件在成熟的风险评估方法论基础上结合金融信息系统特点以及信息系统安全建设需求提出
,,
面向金融业务和金融信息系统共性的网络安全风险评估模型流程和风险分析方法为金融信息系统网
、,
络安全风险评估提供指导
。
Ⅱ
GB/T42926—2023
金融信息系统网络安全风险评估规范
1范围
本文件确立了风险评估工作的要点原则要素和原理规定了风险评估准备阶段识别阶段风险
、、,、、
计算及处理阶段工作的要求
。
本文件适用于金融管理部门金融业机构和网络安全风险评估服务机构开展金融信息系统网络安
、
全风险评估工作
。
注本文件条款中的风险评估均指金融信息系统网络安全风险评估
:“”“”。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文
。,
件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于
,;,()
本文件
。
信息安全技术信息系统安全管理要求
GB/T20269—2006
信息安全技术信息安全风险评估方法
GB/T20984—2022
信息安全技术网络安全等级保护定级指南
GB/T22240—2020
信息安全技术术语
GB/T25069—2022
信息安全技术信息安全风险评估实施指南
GB/T31509—2015
3术语和定义
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论