標準解讀

《GB/T 42926-2023 金融信息系統(tǒng)網絡安全風險評估規(guī)范》是一項國家標準,旨在為金融機構提供一套系統(tǒng)化的網絡安全風險評估方法。該標準詳細規(guī)定了從準備階段到實施、分析直至報告編寫整個過程中的具體步驟和要求,確保能夠全面識別、量化并管理金融信息系統(tǒng)中可能存在的安全威脅與脆弱性。

根據文件內容,首先明確了風險評估的基本原則,包括但不限于客觀性、全面性和動態(tài)調整等。隨后,定義了一系列關鍵術語,如資產、威脅源、脆弱性及影響程度等概念,并對它們進行了詳細的解釋說明,為后續(xù)章節(jié)打下理論基礎。

在準備階段,強調了制定風險評估計劃的重要性,這涉及到確定評估范圍、選擇合適的評估方法以及組建專業(yè)團隊等方面。此外,還要求收集關于被評估系統(tǒng)的相關信息,比如網絡架構圖、設備清單等,以便于后續(xù)工作的開展。

進入實際操作環(huán)節(jié)后,《GB/T 42926-2023》提出了多種可用于識別潛在風險的技術手段,包括但不限于問卷調查法、訪談法和技術檢測法等。通過這些方式可以較為準確地發(fā)現(xiàn)系統(tǒng)中存在的問題點,并對其進行初步分類整理。

接下來是風險分析部分,此階段需結合之前收集到的數(shù)據信息,運用定性或定量的方法來評估每項已識別風險發(fā)生的可能性及其一旦發(fā)生可能造成的損害程度。同時,還需要考慮現(xiàn)有控制措施的有效性,在此基礎上綜合判斷整體風險水平。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-08-06 頒布
  • 2023-12-01 實施
?正版授權
GB/T 42926-2023金融信息系統(tǒng)網絡安全風險評估規(guī)范_第1頁
GB/T 42926-2023金融信息系統(tǒng)網絡安全風險評估規(guī)范_第2頁
GB/T 42926-2023金融信息系統(tǒng)網絡安全風險評估規(guī)范_第3頁
GB/T 42926-2023金融信息系統(tǒng)網絡安全風險評估規(guī)范_第4頁
GB/T 42926-2023金融信息系統(tǒng)網絡安全風險評估規(guī)范_第5頁
免費預覽已結束,剩余59頁可下載查看

下載本文檔

GB/T 42926-2023金融信息系統(tǒng)網絡安全風險評估規(guī)范-免費下載試讀頁

文檔簡介

ICS03060

CCSA.11

中華人民共和國國家標準

GB/T42926—2023

金融信息系統(tǒng)網絡安全風險評估規(guī)范

Specificationoffinancialinformationsystemcybersecurityriskassessment

2023-08-06發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T42926—2023

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

風險評估工作要點和原則

5………………2

工作要點

5.1……………2

工作原則

5.2……………2

風險評估要素及原理

6……………………2

風險評估要素

6.1………………………2

風險評估原理

6.2………………………3

風險評估階段性工作

7……………………4

準備階段

7.1……………4

識別階段

7.2……………5

風險計算及處理階段

7.3………………11

附錄資料性評估參考樣例

A()…………15

網絡安全制度防護脆弱性評估分

A.1(235)…………15

網絡安全技術防護脆弱性評估分

A.2(258)…………29

附錄資料性資產識別與賦值表

B()……………………49

附錄資料性信息系統(tǒng)威脅賦值方法

C()………………52

附錄資料性信息系統(tǒng)脆弱性賦值方法

D()……………53

層面脆弱性評估與賦值

D.1……………53

信息系統(tǒng)脆弱性評估與賦值

D.2………………………54

附錄資料性信息系統(tǒng)脆弱性被利用可能性賦值方法

E()……………56

附錄資料性信息系統(tǒng)的資產風險列表

F()……………57

參考文獻

……………………58

GB/T42926—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國金融標準化技術委員會歸口

(SAC/TC180)。

本文件起草單位中國金融電子化集團有限公司北京國家金融科技認證中心有限公司北京天融

:、、

信網絡安全技術有限公司中國工商銀行股份有限公司亞信科技成都有限公司

、、()。

本文件主要起草人張海燕唐輝高強裔潘麗揚張璐張澍楊劍孟憲哲李吉金紅月李者龍

:、、、、、、、、、、。

GB/T42926—2023

引言

隨著金融與科技融合成為新趨勢云計算大數(shù)據物聯(lián)網移動互聯(lián)人工智能等新型金融科技應

,、、、、

用場景呈爆發(fā)式增長金融信息系統(tǒng)面臨復雜多變的網絡安全威脅和日趨嚴峻的網絡安全形勢開展金

,,

融信息系統(tǒng)網絡安全風險評估有助于全面分析金融信息系統(tǒng)面臨的威脅存在的脆弱性以及風險等

、

級并基于風險評估結果開展風險處理工作為了更好地適應金融科技變革金融信息系統(tǒng)網絡安全風

,。,

險評估體系也需進一步完善

。

本文件在成熟的風險評估方法論基礎上結合金融信息系統(tǒng)特點以及信息系統(tǒng)安全建設需求提出

,,

面向金融業(yè)務和金融信息系統(tǒng)共性的網絡安全風險評估模型流程和風險分析方法為金融信息系統(tǒng)網

、,

絡安全風險評估提供指導

。

GB/T42926—2023

金融信息系統(tǒng)網絡安全風險評估規(guī)范

1范圍

本文件確立了風險評估工作的要點原則要素和原理規(guī)定了風險評估準備階段識別階段風險

、、,、、

計算及處理階段工作的要求

。

本文件適用于金融管理部門金融業(yè)機構和網絡安全風險評估服務機構開展金融信息系統(tǒng)網絡安

、

全風險評估工作

。

注本文件條款中的風險評估均指金融信息系統(tǒng)網絡安全風險評估

:“”“”。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術信息系統(tǒng)安全管理要求

GB/T20269—2006

信息安全技術信息安全風險評估方法

GB/T20984—2022

信息安全技術網絡安全等級保護定級指南

GB/T22240—2020

信息安全技術術語

GB/T25069—2022

信息安全技術信息安全風險評估實施指南

GB/T31509—2015

3術語和定義

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論