本標(biāo)準(zhǔn)共計：62頁。完整版PDF電子版文件下載方式見文末。

隨著金融與科技融合成為新趨勢,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、人工智能等新型金融科技應(yīng)用場景呈爆發(fā)式增長,金融信息系統(tǒng)面臨復(fù)雜多變的網(wǎng)絡(luò)安全威脅和日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢,開展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估有助于全面分析金融信息系統(tǒng)面臨的威脅、存在的脆弱性以及風(fēng)險等級,并基于風(fēng)險評估結(jié)果開展風(fēng)險處理工作。

2023年8月6日，國家標(biāo)準(zhǔn)《金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》（GB/T 42926-2023）（以下簡稱《金融系統(tǒng)風(fēng)評規(guī)范》）由國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布，12月1日正式實(shí)施。

 

為了更好地適應(yīng)金融科技變革,金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估體系也需進(jìn)一步完善。《金融系統(tǒng)風(fēng)評規(guī)范》在成熟的風(fēng)險評估方法論基礎(chǔ)上,結(jié)合金融信息系統(tǒng)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需求,提出面向金融業(yè)務(wù)和金融信息系統(tǒng)共性的網(wǎng)絡(luò)安全風(fēng)險評估模型、流程和風(fēng)險分析方法,為金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估提供指導(dǎo)。

本文件確立了風(fēng)險評估工作的要點(diǎn)、原則、要素和原理,規(guī)定了風(fēng)險評估準(zhǔn)備階段、識別階段、風(fēng)險計算及處理階段工作的要求。本文件適用于金融管理部門、金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險評估服務(wù)機(jī)構(gòu)開展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估工作。

 

 

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估工作要點(diǎn)與要素

 

1、工作要點(diǎn)

金融信息系統(tǒng)作為負(fù)責(zé)完成金融信息的采集、加工、存儲、轉(zhuǎn)換、傳輸?shù)挠嬎銠C(jī)信息系統(tǒng),具有及時性、可靠性、連續(xù)性、開放性、保密性、完整性、準(zhǔn)確性等特點(diǎn),針對這些特點(diǎn)在實(shí)施風(fēng)險評估時著重考慮以下工作要點(diǎn):

• 風(fēng)險要素充分結(jié)合業(yè)務(wù)要求,增加業(yè)務(wù)要素與資產(chǎn)、脆弱性、威脅和風(fēng)險等要素關(guān)系;

• 識別信息系統(tǒng)在及時性、連續(xù)性、可靠性、保密性、完整性等方面存在的脆弱性;

• 準(zhǔn)確給出金融信息系統(tǒng)風(fēng)險狀況,提出量化的風(fēng)險計算公式和風(fēng)險等級區(qū)間。

2、風(fēng)險評估要素

風(fēng)險評估基本要素包括業(yè)務(wù)、資產(chǎn)、威脅、脆弱性、安全措施以及風(fēng)險。風(fēng)險評估圍繞基本要素展開,在對基本要素評估過程中宜充分考慮與基本要素相關(guān)的各類屬性。風(fēng)險評估基本要素關(guān)系如圖1所示。

 

 

開展風(fēng)險評估時,基本要素之間的關(guān)系如下:
a)業(yè)務(wù)的開展需要資產(chǎn)作為支撐;
b)資產(chǎn)存在脆弱性,脆弱性越多則風(fēng)險越大;
c)威脅利用脆弱性增加風(fēng)險,可能演變成為安全事件從而對資產(chǎn)和業(yè)務(wù)造成潛在影響;
d)安全措施的實(shí)施通過降低資產(chǎn)脆弱性被利用的難易程度,抵御威脅,減少風(fēng)險,保障業(yè)務(wù)運(yùn)行。

 

 

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估原理

 

風(fēng)險評估原理如下:
a)基于威脅的種類、來源、動機(jī)及能力,結(jié)合威脅發(fā)生的時機(jī)和頻率確定威脅出現(xiàn)的可能性;
b)將脆弱性與已實(shí)施的安全措施關(guān)聯(lián)分析后確定脆弱性被利用的可能性;
c)根據(jù)威脅出現(xiàn)的可能性及脆弱性被利用的可能性確定安全事件發(fā)生的可能性;
d)根據(jù)資產(chǎn)在業(yè)務(wù)開展中的作用,將資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)分析后確定資產(chǎn)重要性;
e)根據(jù)脆弱性的嚴(yán)重程度及其作用的資產(chǎn)重要性確定安全事件造成的損失;
f)根據(jù)安全事件發(fā)生的可能性以及安全事件造成的損失,確定被評估對象面臨的風(fēng)險。

 

 

金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估輸出文檔

 

風(fēng)險評估各階段主要輸出文檔如下所述(包括但不限于）：

• 評估準(zhǔn)備階段輸出文檔：風(fēng)險評估方案,該方案主要闡述風(fēng)險評估目標(biāo)、范圍、人員、評估方法、評估結(jié)果的形式和實(shí)施進(jìn)度等。

• 識別階段輸出文檔:

• 資產(chǎn)識別清單：根據(jù)組織所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別形成資產(chǎn)識別清單(包括業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)),明確資產(chǎn)的責(zé)任人和責(zé)任部門;
  重要資產(chǎn)列表:根據(jù)資產(chǎn)識別和賦值的結(jié)果形成重要資產(chǎn)列表,包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人、責(zé)任部門等;

• 威脅列表：根據(jù)威脅識別和賦值的結(jié)果形成威脅列表,包括威脅來源、種類、威脅行為、能力和頻率等;

• 有安全措施列表：對已采取的安全措施進(jìn)行識別并形成已有安全措施列表,包括已有安全措施名稱、類型、功能描述及實(shí)施效果等;

• 脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果形成脆弱性列表,包括具體脆弱性的名稱、描述、類型、被利用可能性及影響程度等;
  風(fēng)險列表：根據(jù)威脅利用脆弱性導(dǎo)致安全事件的情況形成風(fēng)險列表,包括具體風(fēng)險的名稱、描述等。

• 風(fēng)險計算及處理階段輸出文檔。

• 風(fēng)險評估報告：對風(fēng)險分析階段工作進(jìn)行總結(jié)。風(fēng)險評估報告中需要對建立的風(fēng)險分析模型進(jìn)行說明,并需要闡明采用的風(fēng)險計算方法與風(fēng)險評價方法。報告中應(yīng)對計算分析出的風(fēng)險給予詳細(xì)說明,主要包括:風(fēng)險對組織、業(yè)務(wù)及系統(tǒng)的影響范圍、影響程度、依據(jù)的法規(guī)和證據(jù)、風(fēng)險評價結(jié)論等。

• 風(fēng)險評估記錄：風(fēng)險評估過程中的各種現(xiàn)場記錄應(yīng)可復(fù)現(xiàn)評估過程,以作為產(chǎn)生歧義后解決問題的依據(jù)。

   

 

<p style="margin: 0px 0px 24px;padding: 0px;outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;clear: both;min-height: 1em;color: rgba(0, 0, 0, 0.9);font-family: system-ui, -apple-system, BlinkMacSystemFont, " helvetica="" neue",="" "pingfang="" sc",="" "hiragino="" sans="" gb",="" "microsoft="" yahei="" ui",="" yahei",="" arial,="" sans-serif;font-size:="" 17px;font-style:="" normal;font-variant-ligatures:="" normal;font-variant-caps:="" normal;font-weight:="" 400;letter-spacing:="" 0.544px;orphans:="" 2;text-indent:="" 0px;text-transform:="" none;white-space:="" normal;widows:="" 2;word-spacing:="" 0px;-webkit-text-stroke-width:="" 0px;text-decoration-thickness:="" initial;text-decoration-style:="" initial;text-decoration-color:="" initial;background-color:="" rgb(255,="" 255,="" 255);text-align:="" left;visibility:="" visible;"="">本報告共計：62頁。受篇幅限制,僅列舉部分內(nèi)容。

戳“金融系統(tǒng)風(fēng)評規(guī)范”下載該標(biāo)準(zhǔn)。