標(biāo)準(zhǔn)解讀

《GB/T 42926-2023 金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范》是一項(xiàng)國家標(biāo)準(zhǔn),旨在為金融機(jī)構(gòu)提供一套系統(tǒng)化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了從準(zhǔn)備階段到實(shí)施、分析直至報(bào)告編寫整個(gè)過程中的具體步驟和要求,確保能夠全面識別、量化并管理金融信息系統(tǒng)中可能存在的安全威脅與脆弱性。

根據(jù)文件內(nèi)容,首先明確了風(fēng)險(xiǎn)評估的基本原則,包括但不限于客觀性、全面性和動(dòng)態(tài)調(diào)整等。隨后,定義了一系列關(guān)鍵術(shù)語,如資產(chǎn)、威脅源、脆弱性及影響程度等概念,并對它們進(jìn)行了詳細(xì)的解釋說明,為后續(xù)章節(jié)打下理論基礎(chǔ)。

在準(zhǔn)備階段,強(qiáng)調(diào)了制定風(fēng)險(xiǎn)評估計(jì)劃的重要性,這涉及到確定評估范圍、選擇合適的評估方法以及組建專業(yè)團(tuán)隊(duì)等方面。此外,還要求收集關(guān)于被評估系統(tǒng)的相關(guān)信息,比如網(wǎng)絡(luò)架構(gòu)圖、設(shè)備清單等,以便于后續(xù)工作的開展。

進(jìn)入實(shí)際操作環(huán)節(jié)后,《GB/T 42926-2023》提出了多種可用于識別潛在風(fēng)險(xiǎn)的技術(shù)手段,包括但不限于問卷調(diào)查法、訪談法和技術(shù)檢測法等。通過這些方式可以較為準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)中存在的問題點(diǎn),并對其進(jìn)行初步分類整理。

接下來是風(fēng)險(xiǎn)分析部分,此階段需結(jié)合之前收集到的數(shù)據(jù)信息,運(yùn)用定性或定量的方法來評估每項(xiàng)已識別風(fēng)險(xiǎn)發(fā)生的可能性及其一旦發(fā)生可能造成的損害程度。同時(shí),還需要考慮現(xiàn)有控制措施的有效性,在此基礎(chǔ)上綜合判斷整體風(fēng)險(xiǎn)水平。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-08-06 頒布
  • 2023-12-01 實(shí)施
?正版授權(quán)
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范_第1頁
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范_第2頁
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范_第3頁
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范_第4頁
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余59頁可下載查看

下載本文檔

GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范-免費(fèi)下載試讀頁

文檔簡介

ICS03060

CCSA.11

中華人民共和國國家標(biāo)準(zhǔn)

GB/T42926—2023

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范

Specificationoffinancialinformationsystemcybersecurityriskassessment

2023-08-06發(fā)布2023-12-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T42926—2023

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

風(fēng)險(xiǎn)評估工作要點(diǎn)和原則

5………………2

工作要點(diǎn)

5.1……………2

工作原則

5.2……………2

風(fēng)險(xiǎn)評估要素及原理

6……………………2

風(fēng)險(xiǎn)評估要素

6.1………………………2

風(fēng)險(xiǎn)評估原理

6.2………………………3

風(fēng)險(xiǎn)評估階段性工作

7……………………4

準(zhǔn)備階段

7.1……………4

識別階段

7.2……………5

風(fēng)險(xiǎn)計(jì)算及處理階段

7.3………………11

附錄資料性評估參考樣例

A()…………15

網(wǎng)絡(luò)安全制度防護(hù)脆弱性評估分

A.1(235)…………15

網(wǎng)絡(luò)安全技術(shù)防護(hù)脆弱性評估分

A.2(258)…………29

附錄資料性資產(chǎn)識別與賦值表

B()……………………49

附錄資料性信息系統(tǒng)威脅賦值方法

C()………………52

附錄資料性信息系統(tǒng)脆弱性賦值方法

D()……………53

層面脆弱性評估與賦值

D.1……………53

信息系統(tǒng)脆弱性評估與賦值

D.2………………………54

附錄資料性信息系統(tǒng)脆弱性被利用可能性賦值方法

E()……………56

附錄資料性信息系統(tǒng)的資產(chǎn)風(fēng)險(xiǎn)列表

F()……………57

參考文獻(xiàn)

……………………58

GB/T42926—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本文件起草單位中國金融電子化集團(tuán)有限公司北京國家金融科技認(rèn)證中心有限公司北京天融

:、、

信網(wǎng)絡(luò)安全技術(shù)有限公司中國工商銀行股份有限公司亞信科技成都有限公司

、、()。

本文件主要起草人張海燕唐輝高強(qiáng)裔潘麗揚(yáng)張璐張澍楊劍孟憲哲李吉金紅月李者龍

:、、、、、、、、、、。

GB/T42926—2023

引言

隨著金融與科技融合成為新趨勢云計(jì)算大數(shù)據(jù)物聯(lián)網(wǎng)移動(dòng)互聯(lián)人工智能等新型金融科技應(yīng)

,、、、、

用場景呈爆發(fā)式增長金融信息系統(tǒng)面臨復(fù)雜多變的網(wǎng)絡(luò)安全威脅和日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢開展金

,,

融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估有助于全面分析金融信息系統(tǒng)面臨的威脅存在的脆弱性以及風(fēng)險(xiǎn)等

、

級并基于風(fēng)險(xiǎn)評估結(jié)果開展風(fēng)險(xiǎn)處理工作為了更好地適應(yīng)金融科技變革金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)

,。,

險(xiǎn)評估體系也需進(jìn)一步完善

。

本文件在成熟的風(fēng)險(xiǎn)評估方法論基礎(chǔ)上結(jié)合金融信息系統(tǒng)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需求提出

,,

面向金融業(yè)務(wù)和金融信息系統(tǒng)共性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型流程和風(fēng)險(xiǎn)分析方法為金融信息系統(tǒng)網(wǎng)

、,

絡(luò)安全風(fēng)險(xiǎn)評估提供指導(dǎo)

。

GB/T42926—2023

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范

1范圍

本文件確立了風(fēng)險(xiǎn)評估工作的要點(diǎn)原則要素和原理規(guī)定了風(fēng)險(xiǎn)評估準(zhǔn)備階段識別階段風(fēng)險(xiǎn)

、、,、、

計(jì)算及處理階段工作的要求

。

本文件適用于金融管理部門金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)開展金融信息系統(tǒng)網(wǎng)絡(luò)安

、

全風(fēng)險(xiǎn)評估工作

。

注本文件條款中的風(fēng)險(xiǎn)評估均指金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估

:“”“”。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)信息系統(tǒng)安全管理要求

GB/T20269—2006

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估方法

GB/T20984—2022

信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南

GB/T22240—2020

信息安全技術(shù)術(shù)語

GB/T25069—2022

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南

GB/T31509—2015

3術(shù)語和定義

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論