搜索结果: GB/T 42926-2023, GB/T42926-2023, GBT 42926-2023, GBT42926-2023
| 标准编号 | GB/T 42926-2023 (GB/T42926-2023) | | 中文名称 | 金融信息系统网络安全风险评估规范 | | 英文名称 | Specification of financial information system cybersecurity risk assessment | | 行业 | 国家标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | 03.060 | | 字数估计 | 62,658 | | 发布日期 | 2023-08-06 | | 实施日期 | 2023-12-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 42926-2023: 金融信息系统网络安全风险评估规范
ICS 03.060
CCSA11
中华人民共和国国家标准
金融信息系统网络安全风险评估规范
2023-08-06发布
2023-12-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 风险评估工作要点和原则 2
5.1 工作要点 2
5.2 工作原则 2
6 风险评估要素及原理 2
6.1 风险评估要素 2
6.2 风险评估原理 3
7 风险评估阶段性工作 4
7.1 准备阶段 4
7.2 识别阶段 5
7.3 风险计算及处理阶段 11
附录A(资料性) 评估参考样例 15
A.1 网络安全制度防护脆弱性评估(235分) 15
A.2 网络安全技术防护脆弱性评估(258分) 29
附录B(资料性) 资产识别与赋值表 49
附录C(资料性) 信息系统威胁赋值方法 52
附录D(资料性) 信息系统脆弱性赋值方法 53
D.1 层面脆弱性评估与赋值 53
D.2 信息系统脆弱性评估与赋值 54
附录E(资料性) 信息系统脆弱性被利用可能性赋值方法 56
附录F(资料性) 信息系统的资产风险列表 57
参考文献 58
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国金融标准化技术委员会(SAC/TC180)归口。
本文件起草单位:中国金融电子化集团有限公司、北京国家金融科技认证中心有限公司、北京天融
信网络安全技术有限公司、中国工商银行股份有限公司、亚信科技(成都)有限公司。
本文件主要起草人:张海燕、唐辉、高强裔、潘丽扬、张璐、张澍、杨剑、孟宪哲、李吉、金红月、李者龙。
引 言
随着金融与科技融合成为新趋势,云计算、大数据、物联网、移动互联、人工智能等新型金融科技应
用场景呈爆发式增长,金融信息系统面临复杂多变的网络安全威胁和日趋严峻的网络安全形势,开展金
融信息系统网络安全风险评估有助于全面分析金融信息系统面临的威胁、存在的脆弱性以及风险等
级,并基于风险评估结果开展风险处理工作。为了更好地适应金融科技变革,金融信息系统网络安全风
险评估体系也需进一步完善。
本文件在成熟的风险评估方法论基础上,结合金融信息系统特点以及信息系统安全建设需求,提出
面向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险分析方法,为金融信息系统网
络安全风险评估提供指导。
金融信息系统网络安全风险评估规范
1 范围
本文件确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险
计算及处理阶段工作的要求。
本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安
全风险评估工作。
注:本文件条款中的“风险评估”均指“金融信息系统网络安全风险评估”。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
GB/T 20984-2022 信息安全技术 信息安全风险评估方法
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
GB/T 25069-2022 信息安全技术 术语
GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
3 术语和定义
GB/T 20269-2006、GB/T 25069-2022和GB/T 20984-2022界定的以及下列术语和定义适用
于本文件。
3.......
|