本標(biāo)準(zhǔn)共計(jì)：62頁(yè)。完整版PDF電子版文件下載方式見(jiàn)文末。

隨著金融與科技融合成為新趨勢(shì),云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、人工智能等新型金融科技應(yīng)用場(chǎng)景呈爆發(fā)式增長(zhǎng),金融信息系統(tǒng)面臨復(fù)雜多變的網(wǎng)絡(luò)安全威脅和日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),開(kāi)展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有助于全面分析金融信息系統(tǒng)面臨的威脅、存在的脆弱性以及風(fēng)險(xiǎn)等級(jí),并基于風(fēng)險(xiǎn)評(píng)估結(jié)果開(kāi)展風(fēng)險(xiǎn)處理工作。

2023年8月6日，國(guó)家標(biāo)準(zhǔn)《金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 42926-2023）（以下簡(jiǎn)稱(chēng)《金融系統(tǒng)風(fēng)評(píng)規(guī)范》）由國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布，12月1日正式實(shí)施。

 

為了更好地適應(yīng)金融科技變革,金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估體系也需進(jìn)一步完善。《金融系統(tǒng)風(fēng)評(píng)規(guī)范》在成熟的風(fēng)險(xiǎn)評(píng)估方法論基礎(chǔ)上,結(jié)合金融信息系統(tǒng)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需求,提出面向金融業(yè)務(wù)和金融信息系統(tǒng)共性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型、流程和風(fēng)險(xiǎn)分析方法,為金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估提供指導(dǎo)。

本文件確立了風(fēng)險(xiǎn)評(píng)估工作的要點(diǎn)、原則、要素和原理,規(guī)定了風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段、識(shí)別階段、風(fēng)險(xiǎn)計(jì)算及處理階段工作的要求。本文件適用于金融管理部門(mén)、金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開(kāi)展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。

 

 

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作要點(diǎn)與要素

 

1、工作要點(diǎn)

金融信息系統(tǒng)作為負(fù)責(zé)完成金融信息的采集、加工、存儲(chǔ)、轉(zhuǎn)換、傳輸?shù)挠?jì)算機(jī)信息系統(tǒng),具有及時(shí)性、可靠性、連續(xù)性、開(kāi)放性、保密性、完整性、準(zhǔn)確性等特點(diǎn),針對(duì)這些特點(diǎn)在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)著重考慮以下工作要點(diǎn):

• 風(fēng)險(xiǎn)要素充分結(jié)合業(yè)務(wù)要求,增加業(yè)務(wù)要素與資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)等要素關(guān)系;

• 識(shí)別信息系統(tǒng)在及時(shí)性、連續(xù)性、可靠性、保密性、完整性等方面存在的脆弱性;

• 準(zhǔn)確給出金融信息系統(tǒng)風(fēng)險(xiǎn)狀況,提出量化的風(fēng)險(xiǎn)計(jì)算公式和風(fēng)險(xiǎn)等級(jí)區(qū)間。

2、風(fēng)險(xiǎn)評(píng)估要素

風(fēng)險(xiǎn)評(píng)估基本要素包括業(yè)務(wù)、資產(chǎn)、威脅、脆弱性、安全措施以及風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估圍繞基本要素展開(kāi),在對(duì)基本要素評(píng)估過(guò)程中宜充分考慮與基本要素相關(guān)的各類(lèi)屬性。風(fēng)險(xiǎn)評(píng)估基本要素關(guān)系如圖1所示。

 

 

開(kāi)展風(fēng)險(xiǎn)評(píng)估時(shí),基本要素之間的關(guān)系如下:
a)業(yè)務(wù)的開(kāi)展需要資產(chǎn)作為支撐;
b)資產(chǎn)存在脆弱性,脆弱性越多則風(fēng)險(xiǎn)越大;
c)威脅利用脆弱性增加風(fēng)險(xiǎn),可能演變成為安全事件從而對(duì)資產(chǎn)和業(yè)務(wù)造成潛在影響;
d)安全措施的實(shí)施通過(guò)降低資產(chǎn)脆弱性被利用的難易程度,抵御威脅,減少風(fēng)險(xiǎn),保障業(yè)務(wù)運(yùn)行。

 

 

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估原理

 

風(fēng)險(xiǎn)評(píng)估原理如下:
a)基于威脅的種類(lèi)、來(lái)源、動(dòng)機(jī)及能力,結(jié)合威脅發(fā)生的時(shí)機(jī)和頻率確定威脅出現(xiàn)的可能性;
b)將脆弱性與已實(shí)施的安全措施關(guān)聯(lián)分析后確定脆弱性被利用的可能性;
c)根據(jù)威脅出現(xiàn)的可能性及脆弱性被利用的可能性確定安全事件發(fā)生的可能性;
d)根據(jù)資產(chǎn)在業(yè)務(wù)開(kāi)展中的作用,將資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)分析后確定資產(chǎn)重要性;
e)根據(jù)脆弱性的嚴(yán)重程度及其作用的資產(chǎn)重要性確定安全事件造成的損失;
f)根據(jù)安全事件發(fā)生的可能性以及安全事件造成的損失,確定被評(píng)估對(duì)象面臨的風(fēng)險(xiǎn)。

 

 

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估輸出文檔

 

風(fēng)險(xiǎn)評(píng)估各階段主要輸出文檔如下所述(包括但不限于）：

• 評(píng)估準(zhǔn)備階段輸出文檔：風(fēng)險(xiǎn)評(píng)估方案,該方案主要闡述風(fēng)險(xiǎn)評(píng)估目標(biāo)、范圍、人員、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等。

• 識(shí)別階段輸出文檔:

• 資產(chǎn)識(shí)別清單：根據(jù)組織所確定的資產(chǎn)分類(lèi)方法進(jìn)行資產(chǎn)識(shí)別形成資產(chǎn)識(shí)別清單(包括業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)),明確資產(chǎn)的責(zé)任人和責(zé)任部門(mén);
  重要資產(chǎn)列表:根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果形成重要資產(chǎn)列表,包括重要資產(chǎn)名稱(chēng)、描述、類(lèi)型、重要程度、責(zé)任人、責(zé)任部門(mén)等;

• 威脅列表：根據(jù)威脅識(shí)別和賦值的結(jié)果形成威脅列表,包括威脅來(lái)源、種類(lèi)、威脅行為、能力和頻率等;

• 有安全措施列表：對(duì)已采取的安全措施進(jìn)行識(shí)別并形成已有安全措施列表,包括已有安全措施名稱(chēng)、類(lèi)型、功能描述及實(shí)施效果等;

• 脆弱性列表：根據(jù)脆弱性識(shí)別和賦值的結(jié)果形成脆弱性列表,包括具體脆弱性的名稱(chēng)、描述、類(lèi)型、被利用可能性及影響程度等;
  風(fēng)險(xiǎn)列表：根據(jù)威脅利用脆弱性導(dǎo)致安全事件的情況形成風(fēng)險(xiǎn)列表,包括具體風(fēng)險(xiǎn)的名稱(chēng)、描述等。

• 風(fēng)險(xiǎn)計(jì)算及處理階段輸出文檔。

• 風(fēng)險(xiǎn)評(píng)估報(bào)告：對(duì)風(fēng)險(xiǎn)分析階段工作進(jìn)行總結(jié)。風(fēng)險(xiǎn)評(píng)估報(bào)告中需要對(duì)建立的風(fēng)險(xiǎn)分析模型進(jìn)行說(shuō)明,并需要闡明采用的風(fēng)險(xiǎn)計(jì)算方法與風(fēng)險(xiǎn)評(píng)價(jià)方法。報(bào)告中應(yīng)對(duì)計(jì)算分析出的風(fēng)險(xiǎn)給予詳細(xì)說(shuō)明,主要包括:風(fēng)險(xiǎn)對(duì)組織、業(yè)務(wù)及系統(tǒng)的影響范圍、影響程度、依據(jù)的法規(guī)和證據(jù)、風(fēng)險(xiǎn)評(píng)價(jià)結(jié)論等。

• 風(fēng)險(xiǎn)評(píng)估記錄：風(fēng)險(xiǎn)評(píng)估過(guò)程中的各種現(xiàn)場(chǎng)記錄應(yīng)可復(fù)現(xiàn)評(píng)估過(guò)程,以作為產(chǎn)生歧義后解決問(wèn)題的依據(jù)。

   

 

<p style="margin: 0px 0px 24px;padding: 0px;outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;clear: both;min-height: 1em;color: rgba(0, 0, 0, 0.9);font-family: system-ui, -apple-system, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;font-size:="" 17px;font-style:="" normal;font-variant-ligatures:="" normal;font-variant-caps:="" normal;font-weight:="" 400;letter-spacing:="" 0.544px;orphans:="" 2;text-indent:="" 0px;text-transform:="" none;white-space:="" normal;widows:="" 2;word-spacing:="" 0px;-webkit-text-stroke-width:="" 0px;text-decoration-thickness:="" initial;text-decoration-style:="" initial;text-decoration-color:="" initial;background-color:="" rgb(255,="" 255,="" 255);text-align:="" left;visibility:="" visible;"="">本報(bào)告共計(jì)：62頁(yè)。受篇幅限制,僅列舉部分內(nèi)容。

戳“金融系統(tǒng)風(fēng)評(píng)規(guī)范”下載該標(biāo)準(zhǔn)。