標(biāo)準(zhǔn)解讀

《GB/T 42926-2023 金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為金融機(jī)構(gòu)提供一套系統(tǒng)化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了從準(zhǔn)備階段到實(shí)施、分析直至報(bào)告編寫(xiě)整個(gè)過(guò)程中的具體步驟和要求,確保能夠全面識(shí)別、量化并管理金融信息系統(tǒng)中可能存在的安全威脅與脆弱性。

根據(jù)文件內(nèi)容,首先明確了風(fēng)險(xiǎn)評(píng)估的基本原則,包括但不限于客觀性、全面性和動(dòng)態(tài)調(diào)整等。隨后,定義了一系列關(guān)鍵術(shù)語(yǔ),如資產(chǎn)、威脅源、脆弱性及影響程度等概念,并對(duì)它們進(jìn)行了詳細(xì)的解釋說(shuō)明,為后續(xù)章節(jié)打下理論基礎(chǔ)。

在準(zhǔn)備階段,強(qiáng)調(diào)了制定風(fēng)險(xiǎn)評(píng)估計(jì)劃的重要性,這涉及到確定評(píng)估范圍、選擇合適的評(píng)估方法以及組建專(zhuān)業(yè)團(tuán)隊(duì)等方面。此外,還要求收集關(guān)于被評(píng)估系統(tǒng)的相關(guān)信息,比如網(wǎng)絡(luò)架構(gòu)圖、設(shè)備清單等,以便于后續(xù)工作的開(kāi)展。

進(jìn)入實(shí)際操作環(huán)節(jié)后,《GB/T 42926-2023》提出了多種可用于識(shí)別潛在風(fēng)險(xiǎn)的技術(shù)手段,包括但不限于問(wèn)卷調(diào)查法、訪談法和技術(shù)檢測(cè)法等。通過(guò)這些方式可以較為準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)中存在的問(wèn)題點(diǎn),并對(duì)其進(jìn)行初步分類(lèi)整理。

接下來(lái)是風(fēng)險(xiǎn)分析部分,此階段需結(jié)合之前收集到的數(shù)據(jù)信息,運(yùn)用定性或定量的方法來(lái)評(píng)估每項(xiàng)已識(shí)別風(fēng)險(xiǎn)發(fā)生的可能性及其一旦發(fā)生可能造成的損害程度。同時(shí),還需要考慮現(xiàn)有控制措施的有效性,在此基礎(chǔ)上綜合判斷整體風(fēng)險(xiǎn)水平。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2023-08-06 頒布
  • 2023-12-01 實(shí)施
?正版授權(quán)
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第1頁(yè)
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第2頁(yè)
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第3頁(yè)
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第4頁(yè)
GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余59頁(yè)可下載查看

下載本文檔

GB/T 42926-2023金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS03060

CCSA.11

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T42926—2023

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范

Specificationoffinancialinformationsystemcybersecurityriskassessment

2023-08-06發(fā)布2023-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T42926—2023

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………1

風(fēng)險(xiǎn)評(píng)估工作要點(diǎn)和原則

5………………2

工作要點(diǎn)

5.1……………2

工作原則

5.2……………2

風(fēng)險(xiǎn)評(píng)估要素及原理

6……………………2

風(fēng)險(xiǎn)評(píng)估要素

6.1………………………2

風(fēng)險(xiǎn)評(píng)估原理

6.2………………………3

風(fēng)險(xiǎn)評(píng)估階段性工作

7……………………4

準(zhǔn)備階段

7.1……………4

識(shí)別階段

7.2……………5

風(fēng)險(xiǎn)計(jì)算及處理階段

7.3………………11

附錄資料性評(píng)估參考樣例

A()…………15

網(wǎng)絡(luò)安全制度防護(hù)脆弱性評(píng)估分

A.1(235)…………15

網(wǎng)絡(luò)安全技術(shù)防護(hù)脆弱性評(píng)估分

A.2(258)…………29

附錄資料性資產(chǎn)識(shí)別與賦值表

B()……………………49

附錄資料性信息系統(tǒng)威脅賦值方法

C()………………52

附錄資料性信息系統(tǒng)脆弱性賦值方法

D()……………53

層面脆弱性評(píng)估與賦值

D.1……………53

信息系統(tǒng)脆弱性評(píng)估與賦值

D.2………………………54

附錄資料性信息系統(tǒng)脆弱性被利用可能性賦值方法

E()……………56

附錄資料性信息系統(tǒng)的資產(chǎn)風(fēng)險(xiǎn)列表

F()……………57

參考文獻(xiàn)

……………………58

GB/T42926—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本文件起草單位中國(guó)金融電子化集團(tuán)有限公司北京國(guó)家金融科技認(rèn)證中心有限公司北京天融

:、、

信網(wǎng)絡(luò)安全技術(shù)有限公司中國(guó)工商銀行股份有限公司亞信科技成都有限公司

、、()。

本文件主要起草人張海燕唐輝高強(qiáng)裔潘麗揚(yáng)張璐張澍楊劍孟憲哲李吉金紅月李者龍

:、、、、、、、、、、。

GB/T42926—2023

引言

隨著金融與科技融合成為新趨勢(shì)云計(jì)算大數(shù)據(jù)物聯(lián)網(wǎng)移動(dòng)互聯(lián)人工智能等新型金融科技應(yīng)

,、、、、

用場(chǎng)景呈爆發(fā)式增長(zhǎng)金融信息系統(tǒng)面臨復(fù)雜多變的網(wǎng)絡(luò)安全威脅和日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)開(kāi)展金

,,

融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有助于全面分析金融信息系統(tǒng)面臨的威脅存在的脆弱性以及風(fēng)險(xiǎn)等

、

級(jí)并基于風(fēng)險(xiǎn)評(píng)估結(jié)果開(kāi)展風(fēng)險(xiǎn)處理工作為了更好地適應(yīng)金融科技變革金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)

,。,

險(xiǎn)評(píng)估體系也需進(jìn)一步完善

本文件在成熟的風(fēng)險(xiǎn)評(píng)估方法論基礎(chǔ)上結(jié)合金融信息系統(tǒng)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需求提出

,,

面向金融業(yè)務(wù)和金融信息系統(tǒng)共性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型流程和風(fēng)險(xiǎn)分析方法為金融信息系統(tǒng)網(wǎng)

、,

絡(luò)安全風(fēng)險(xiǎn)評(píng)估提供指導(dǎo)

。

GB/T42926—2023

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范

1范圍

本文件確立了風(fēng)險(xiǎn)評(píng)估工作的要點(diǎn)原則要素和原理規(guī)定了風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段識(shí)別階段風(fēng)險(xiǎn)

、、,、、

計(jì)算及處理階段工作的要求

本文件適用于金融管理部門(mén)金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開(kāi)展金融信息系統(tǒng)網(wǎng)絡(luò)安

、

全風(fēng)險(xiǎn)評(píng)估工作

。

注本文件條款中的風(fēng)險(xiǎn)評(píng)估均指金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

:“”“”。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)信息系統(tǒng)安全管理要求

GB/T20269—2006

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

GB/T20984—2022

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

GB/T22240—2020

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2022

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

GB/T31509—2015

3術(shù)語(yǔ)和定義

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論