ICS03060

CCSA.11

中華人民共和國國家標準

GB/T42926—2023

金融信息系統網絡安全風險評估規范

Specificationoffinancialinformationsystemcybersecurityriskassessment

2023-08-06發布2023-12-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T42926—2023

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

風險評估工作要點和原則

5………………2

工作要點

5.1……………2

工作原則

5.2……………2

風險評估要素及原理

6……………………2

風險評估要素

6.1………………………2

風險評估原理

6.2………………………3

風險評估階段性工作

7……………………4

準備階段

7.1……………4

識別階段

7.2……………5

風險計算及處理階段

7.3………………11

附錄資料性評估參考樣例

A()…………15

網絡安全制度防護脆弱性評估分

A.1(235)…………15

網絡安全技術防護脆弱性評估分

A.2(258)…………29

附錄資料性資產識別與賦值表

B()……………………49

附錄資料性信息系統威脅賦值方法

C()………………52

附錄資料性信息系統脆弱性賦值方法

D()……………53

層面脆弱性評估與賦值

D.1……………53

信息系統脆弱性評估與賦值

D.2………………………54

附錄資料性信息系統脆弱性被利用可能性賦值方法

E()……………56

附錄資料性信息系統的資產風險列表

F()……………57

參考文獻

……………………58

GB/T42926—2023

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國金融標準化技術委員會歸口

(SAC/TC180)。

本文件起草單位中國金融電子化集團有限公司北京國家金融科技認證中心有限公司北京天融

:、、

信網絡安全技術有限公司中國工商銀行股份有限公司亞信科技成都有限公司

、、()。

本文件主要起草人張海燕唐輝高強裔潘麗揚張璐張澍楊劍孟憲哲李吉金紅月李者龍

:、、、、、、、、、、。

Ⅰ

GB/T42926—2023

引言

隨著金融與科技融合成為新趨勢云計算大數據物聯網移動互聯人工智能等新型金融科技應

,、、、、

用場景呈爆發式增長金融信息系統面臨復雜多變的網絡安全威脅和日趨嚴峻的網絡安全形勢開展金

,,

融信息系統網絡安全風險評估有助于全面分析金融信息系統面臨的威脅存在的脆弱性以及風險等

、

級并基于風險評估結果開展風險處理工作為了更好地適應金融科技變革金融信息系統網絡安全風

,。,

險評估體系也需進一步完善

。

本文件在成熟的風險評估方法論基礎上結合金融信息系統特點以及信息系統安全建設需求提出

,,

面向金融業務和金融信息系統共性的網絡安全風險評估模型流程和風險分析方法為金融信息系統網

、,

絡安全風險評估提供指導

。

Ⅱ

GB/T42926—2023

金融信息系統網絡安全風險評估規范

1范圍

本文件確立了風險評估工作的要點原則要素和原理規定了風險評估準備階段識別階段風險

、、,、、

計算及處理階段工作的要求

。

本文件適用于金融管理部門金融業機構和網絡安全風險評估服務機構開展金融信息系統網絡安

、

全風險評估工作

。

注本文件條款中的風險評估均指金融信息系統網絡安全風險評估

:“”“”。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術信息系統安全管理要求

GB/T20269—2006

信息安全技術信息安全風險評估方法

GB/T20984—2022

信息安全技術網絡安全等級保護定級指南

GB/T22240—2020

信息安全技術術語

GB/T25069—2022

信息安全技術信息安全風險評估實施指南

GB/T31509—2015

3術語和定義