《金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T42926-2023》詳細(xì)解讀contents目錄1范圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5風(fēng)險(xiǎn)評(píng)估工作要點(diǎn)和原則5.1工作要點(diǎn)5.2工作原則contents目錄6風(fēng)險(xiǎn)評(píng)估要素及原理6.1風(fēng)險(xiǎn)評(píng)估要素6.2風(fēng)險(xiǎn)評(píng)估原理7風(fēng)險(xiǎn)評(píng)估階段性工作7.1準(zhǔn)備階段7.2識(shí)別階段7.3風(fēng)險(xiǎn)計(jì)算及處理階段附錄A(資料性)評(píng)估參考樣例contents目錄A.1網(wǎng)絡(luò)安全制度防護(hù)脆弱性評(píng)估(235分)A.2網(wǎng)絡(luò)安全技術(shù)防護(hù)脆弱性評(píng)估(258分)附錄B(資料性)資產(chǎn)識(shí)別與賦值表附錄C(資料性)信息系統(tǒng)威脅賦值方法附錄D(資料性)信息系統(tǒng)脆弱性賦值方法contents目錄D.1層面脆弱性評(píng)估與賦值D.2信息系統(tǒng)脆弱性評(píng)估與賦值附錄E(資料性)信息系統(tǒng)脆弱性被利用可能性賦值方法

附錄F(資料性)信息系統(tǒng)的資產(chǎn)風(fēng)險(xiǎn)列表參考文獻(xiàn)011范圍1范圍適用主體本規(guī)范適用于金融管理部門、金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，這些主體在開展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作時(shí)需遵循本規(guī)范。評(píng)估對(duì)象風(fēng)險(xiǎn)評(píng)估的客體為金融信息系統(tǒng)，這包括負(fù)責(zé)完成金融信息的采集、加工、存儲(chǔ)、轉(zhuǎn)換、傳輸?shù)挠?jì)算機(jī)信息系統(tǒng)及其組成部分，如網(wǎng)絡(luò)傳輸設(shè)備、安全傳輸設(shè)備、服務(wù)器、虛擬機(jī)等計(jì)算設(shè)備、存儲(chǔ)設(shè)備，以及應(yīng)用、中間件、操作系統(tǒng)、數(shù)據(jù)庫等應(yīng)用和系統(tǒng)軟件。業(yè)務(wù)要素本規(guī)范強(qiáng)調(diào)“業(yè)務(wù)”作為金融信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素，風(fēng)險(xiǎn)要素需充分結(jié)合業(yè)務(wù)要求，增加了業(yè)務(wù)要素與資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)等要素的關(guān)系。022規(guī)范性引用文件2規(guī)范性引用文件法律法規(guī)依據(jù)在制定此規(guī)范時(shí)，也充分考慮了國家網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)要求，確保評(píng)估工作符合法律法規(guī)的框架和指導(dǎo)原則，為金融行業(yè)提供合法合規(guī)的網(wǎng)絡(luò)安全保障。技術(shù)與管理標(biāo)準(zhǔn)此外，規(guī)范還參考了一系列與信息系統(tǒng)安全相關(guān)的技術(shù)和管理標(biāo)準(zhǔn)，如涉及網(wǎng)絡(luò)安全技術(shù)防護(hù)、脆弱性評(píng)估、威脅賦值等方面的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)共同構(gòu)成了金融信息系統(tǒng)網(wǎng)絡(luò)安全評(píng)估的技術(shù)基礎(chǔ)。核心引用文件該規(guī)范在制定過程中，主要引用了國家關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)和指南，包括但不限于《信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T31509-2015）和《信息安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T20984-2022），這些文件為金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估提供了基本的方法論和評(píng)估流程。033術(shù)語和定義3術(shù)語和定義指的是負(fù)責(zé)完成金融信息的采集、加工、存儲(chǔ)、轉(zhuǎn)換、傳輸?shù)挠?jì)算機(jī)信息系統(tǒng)。這包括組成金融信息系統(tǒng)的網(wǎng)絡(luò)傳輸設(shè)備、安全傳輸設(shè)備、服務(wù)器、虛擬機(jī)等計(jì)算設(shè)備、存儲(chǔ)設(shè)備，以及應(yīng)用、中間件、操作系統(tǒng)、數(shù)據(jù)庫等應(yīng)用和系統(tǒng)軟件。金融信息系統(tǒng)一個(gè)系統(tǒng)性的過程，通過對(duì)金融信息系統(tǒng)的資產(chǎn)、威脅、脆弱性、安全措施等要素進(jìn)行綜合分析，評(píng)估系統(tǒng)面臨的安全風(fēng)險(xiǎn)，并提出相應(yīng)的風(fēng)險(xiǎn)控制措施。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要考慮的關(guān)鍵要素包括業(yè)務(wù)、資產(chǎn)、威脅、脆弱性、安全措施以及風(fēng)險(xiǎn)。這些要素在評(píng)估過程中相互關(guān)聯(lián)，共同構(gòu)成風(fēng)險(xiǎn)評(píng)估的框架和基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估要素044縮略語金融信息系統(tǒng)（FinancialInformationSystem）FIS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估（NetworkSecurityRiskAssessment）NIS國家推薦性標(biāo)準(zhǔn)（Guobiao/Tuijian）GB/T4縮略語010203055風(fēng)險(xiǎn)評(píng)估工作要點(diǎn)和原則量化風(fēng)險(xiǎn)計(jì)算與等級(jí)評(píng)定準(zhǔn)確評(píng)估金融信息系統(tǒng)的風(fēng)險(xiǎn)狀況，提出量化的風(fēng)險(xiǎn)計(jì)算公式，并劃定風(fēng)險(xiǎn)等級(jí)區(qū)間，為風(fēng)險(xiǎn)管理提供決策依據(jù)。風(fēng)險(xiǎn)要素與業(yè)務(wù)結(jié)合風(fēng)險(xiǎn)評(píng)估需充分考慮金融業(yè)務(wù)需求，確保業(yè)務(wù)要素與資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)等相關(guān)要素的緊密結(jié)合。識(shí)別信息系統(tǒng)脆弱性針對(duì)金融信息系統(tǒng)的及時(shí)性、連續(xù)性、可靠性、保密性、完整性等特點(diǎn)，全面識(shí)別系統(tǒng)存在的脆弱性，并提供評(píng)估指標(biāo)。5風(fēng)險(xiǎn)評(píng)估工作要點(diǎn)和原則065.1工作要點(diǎn)風(fēng)險(xiǎn)要素與業(yè)務(wù)要求相結(jié)合在進(jìn)行金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)充分考慮業(yè)務(wù)要素與資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)之間的關(guān)系，確保風(fēng)險(xiǎn)評(píng)估結(jié)果與實(shí)際業(yè)務(wù)需求相匹配。5.1工作要點(diǎn)識(shí)別信息系統(tǒng)的脆弱性針對(duì)金融信息系統(tǒng)的及時(shí)性、連續(xù)性、可靠性、保密性、完整性等特點(diǎn)，深入識(shí)別系統(tǒng)存在的脆弱性，并給出相應(yīng)的評(píng)估指標(biāo)。量化風(fēng)險(xiǎn)狀況通過準(zhǔn)確的風(fēng)險(xiǎn)計(jì)算公式和風(fēng)險(xiǎn)等級(jí)區(qū)間，對(duì)金融信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行量化評(píng)估，為后續(xù)的風(fēng)險(xiǎn)管理提供科學(xué)依據(jù)。075.2工作原則風(fēng)險(xiǎn)評(píng)估應(yīng)涵蓋金融信息系統(tǒng)的所有關(guān)鍵組成部分，包括但不限于硬件設(shè)備、軟件系統(tǒng)、網(wǎng)絡(luò)通信、數(shù)據(jù)存儲(chǔ)等。在評(píng)估過程中，應(yīng)充分考慮系統(tǒng)的整體安全性，確保各個(gè)部分都得到有效的評(píng)估。5.2工作原則風(fēng)險(xiǎn)評(píng)估不僅關(guān)注技術(shù)層面的安全，還包括管理、政策、人員等各個(gè)方面的安全風(fēng)險(xiǎn)。086風(fēng)險(xiǎn)評(píng)估要素及原理金融業(yè)務(wù)特點(diǎn)和需求，對(duì)資產(chǎn)、威脅、脆弱性、安全措施等要素的影響。業(yè)務(wù)資產(chǎn)威脅包括硬件、軟件、數(shù)據(jù)、人員等，是風(fēng)險(xiǎn)評(píng)估的重要對(duì)象?？赡軐?duì)資產(chǎn)造成損害的因素，如黑客攻擊、病毒入侵等。6風(fēng)險(xiǎn)評(píng)估要素及原理096.1風(fēng)險(xiǎn)評(píng)估要素業(yè)務(wù)業(yè)務(wù)是風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素之一，包括業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)、業(yè)務(wù)連續(xù)性等方面，需要評(píng)估業(yè)務(wù)的重要性和對(duì)安全的需求。資產(chǎn)威脅6.1風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)是指對(duì)組織有價(jià)值的物品或資源，包括硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)信息等，需要評(píng)估資產(chǎn)的價(jià)值、脆弱性和面臨的威脅。威脅是指可能對(duì)資產(chǎn)造成損害的因素或事件，包括外部攻擊、內(nèi)部泄露、自然災(zāi)害等，需要評(píng)估各種威脅的可能性和影響程度。106.2風(fēng)險(xiǎn)評(píng)估原理業(yè)務(wù)的正常運(yùn)行是金融信息系統(tǒng)安全的最終目標(biāo)，因此業(yè)務(wù)要素是風(fēng)險(xiǎn)評(píng)估的重要組成部分。業(yè)務(wù)是風(fēng)險(xiǎn)評(píng)估的核心通過對(duì)金融信息系統(tǒng)的資產(chǎn)、面臨的威脅以及存在的脆弱性進(jìn)行評(píng)估，可以確定系統(tǒng)的安全風(fēng)險(xiǎn)狀況。資產(chǎn)、威脅與脆弱性評(píng)估安全措施的實(shí)施可以有效降低資產(chǎn)脆弱性被利用的可能性，抵御威脅，從而減少風(fēng)險(xiǎn)，保障業(yè)務(wù)運(yùn)行。安全措施與風(fēng)險(xiǎn)的關(guān)系6.2風(fēng)險(xiǎn)評(píng)估原理117風(fēng)險(xiǎn)評(píng)估階段性工作確定評(píng)估目標(biāo)和范圍根據(jù)評(píng)估需求，組織具備相關(guān)技能和經(jīng)驗(yàn)的人員形成評(píng)估團(tuán)隊(duì)。組建評(píng)估團(tuán)隊(duì)收集信息搜集與金融信息系統(tǒng)相關(guān)的技術(shù)文檔、安全策略、配置文件等資料。明確評(píng)估的對(duì)象、目的以及所需覆蓋的安全領(lǐng)域。7風(fēng)險(xiǎn)評(píng)估階段性工作127.1準(zhǔn)備階段7.1準(zhǔn)備階段確定評(píng)估目標(biāo)和范圍明確評(píng)估的對(duì)象、目的和所需覆蓋的網(wǎng)絡(luò)安全范圍，為后續(xù)評(píng)估工作提供明確方向。組建評(píng)估團(tuán)隊(duì)收集相關(guān)信息根據(jù)評(píng)估需求，組建具備相關(guān)專業(yè)知識(shí)和技能的評(píng)估團(tuán)隊(duì)，確保評(píng)估工作的專業(yè)性和有效性。收集與金融信息系統(tǒng)網(wǎng)絡(luò)安全相關(guān)的各類信息，包括系統(tǒng)架構(gòu)、安全策略、安全配置等，為后續(xù)的評(píng)估工作提供數(shù)據(jù)支持。137.2識(shí)別階段010203確定評(píng)估范圍內(nèi)的所有資產(chǎn)，包括硬件、軟件、數(shù)據(jù)、人員等。對(duì)資產(chǎn)進(jìn)行分類和標(biāo)識(shí)，便于后續(xù)的風(fēng)險(xiǎn)評(píng)估和管理。分析資產(chǎn)的重要性和價(jià)值，以確定資產(chǎn)的安全保護(hù)等級(jí)。7.2識(shí)別階段147.3風(fēng)險(xiǎn)計(jì)算及處理階段風(fēng)險(xiǎn)計(jì)算方法在識(shí)別階段完成后，對(duì)識(shí)別出的威脅和脆弱性進(jìn)行量化賦值，并結(jié)合資產(chǎn)價(jià)值，采用適當(dāng)?shù)娘L(fēng)險(xiǎn)計(jì)算公式，得出各項(xiàng)風(fēng)險(xiǎn)的大小。風(fēng)險(xiǎn)等級(jí)判定根據(jù)風(fēng)險(xiǎn)計(jì)算的結(jié)果，結(jié)合組織的風(fēng)險(xiǎn)接受準(zhǔn)則，判定風(fēng)險(xiǎn)級(jí)別，以便于后續(xù)的風(fēng)險(xiǎn)處理。風(fēng)險(xiǎn)處理措施根據(jù)風(fēng)險(xiǎn)級(jí)別，制定相應(yīng)的風(fēng)險(xiǎn)處理措施，如風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移等，確保金融信息系統(tǒng)的網(wǎng)絡(luò)安全。7.3風(fēng)險(xiǎn)計(jì)算及處理階段15附錄A(資料性)評(píng)估參考樣例XX金融信息系統(tǒng)系統(tǒng)名稱該系統(tǒng)旨在為金融機(jī)構(gòu)提供客戶信息管理、交易處理及風(fēng)險(xiǎn)控制等功能。系統(tǒng)簡介采用B/S架構(gòu)，包括前端界面、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等組件。系統(tǒng)架構(gòu)附錄A(資料性)評(píng)估參考樣例16A.1網(wǎng)絡(luò)安全制度防護(hù)脆弱性評(píng)估(235分)A.1網(wǎng)絡(luò)安全制度防護(hù)脆弱性評(píng)估(235分)網(wǎng)絡(luò)安全管理制度的完善程度01網(wǎng)絡(luò)安全培訓(xùn)和教育的有效性02網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)機(jī)制0317A.2網(wǎng)絡(luò)安全技術(shù)防護(hù)脆弱性評(píng)估(258分)A.2網(wǎng)絡(luò)安全技術(shù)防護(hù)脆弱性評(píng)估(258分)檢查金融信息系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)措施是否完善評(píng)估現(xiàn)有安全技術(shù)是否能有效抵御外部攻擊和內(nèi)部泄露分析技術(shù)防護(hù)措施的更新和維護(hù)情況，確保其持續(xù)有效性18附錄B(資料性)資產(chǎn)識(shí)別與賦值表附錄B(資料性)資產(chǎn)識(shí)別與賦值表賦值依據(jù)針對(duì)不同類型的資產(chǎn)，規(guī)范給出了具體的賦值依據(jù)。這些依據(jù)通常基于資產(chǎn)的價(jià)值、重要性、敏感性以及對(duì)業(yè)務(wù)運(yùn)行的影響程度等因素，確保資產(chǎn)賦值的科學(xué)性和合理性。賦值方法規(guī)范中詳細(xì)介紹了資產(chǎn)賦值的方法和步驟，包括初步識(shí)別、詳細(xì)分析、確定賦值等階段。通過這些方法，可以對(duì)金融信息系統(tǒng)中的各項(xiàng)資產(chǎn)進(jìn)行量化評(píng)估，為后續(xù)的風(fēng)險(xiǎn)評(píng)估工作提供基礎(chǔ)數(shù)據(jù)支持。資產(chǎn)分類規(guī)范中提供了詳細(xì)的資產(chǎn)分類方法，有助于全面識(shí)別金融信息系統(tǒng)中的各種資產(chǎn)，包括但不限于硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)信息、人員和服務(wù)等。03020119附錄C(資料性)信息系統(tǒng)威脅賦值方法附錄C(資料性)信息系統(tǒng)威脅賦值方法01包括黑客攻擊、惡意軟件、網(wǎng)絡(luò)釣魚等，這些威脅通常來自于互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)。涉及內(nèi)部人員濫用權(quán)限、誤操作或故意破壞等行為，可能由于員工不滿、誤操作或受到外部誘導(dǎo)而產(chǎn)生。源于供應(yīng)商、合作伙伴或第三方服務(wù)提供者，可能通過供應(yīng)鏈中的惡意軟件植入、篡改或數(shù)據(jù)泄露等方式對(duì)信息系統(tǒng)構(gòu)成威脅。0203外部威脅內(nèi)部威脅供應(yīng)鏈威脅20附錄D(資料性)信息系統(tǒng)脆弱性賦值方法附錄D(資料性)信息系統(tǒng)脆弱性賦值方法確定脆弱性綜合考慮組件的漏洞、配置錯(cuò)誤、不當(dāng)操作等因素，識(shí)別出具體的脆弱性。分析潛在威脅評(píng)估每個(gè)組件可能受到的威脅，如未授權(quán)的訪問、數(shù)據(jù)泄露、惡意軟件感染等。識(shí)別信息系統(tǒng)組件包括硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)等各個(gè)方面。21D.1層面脆弱性評(píng)估與賦值確定評(píng)估對(duì)象明確需要評(píng)估的金融信息系統(tǒng)及其相關(guān)組件。收集信息搜集有關(guān)系統(tǒng)架構(gòu)、配置、安全策略等方面的信息。分析脆弱性通過對(duì)比行業(yè)標(biāo)準(zhǔn)、安全配置基準(zhǔn)等，識(shí)別系統(tǒng)存在的脆弱性。D.1層面脆弱性評(píng)估與賦值22D.2信息系統(tǒng)脆弱性評(píng)估與賦值通過使用自動(dòng)化工具對(duì)系統(tǒng)進(jìn)行掃描，發(fā)現(xiàn)其中可能存在的漏洞，并對(duì)漏洞進(jìn)行評(píng)級(jí)和分類。基于漏洞掃描的評(píng)估由專業(yè)安全人員通過審查系統(tǒng)配置、源代碼等，發(fā)現(xiàn)潛在的脆弱性。手工評(píng)估方法模擬黑客攻擊的方式，測(cè)試系統(tǒng)的安全性，從而發(fā)現(xiàn)脆弱性。滲透測(cè)試方法D.2信息系統(tǒng)脆弱性評(píng)估與賦值23附錄E(資料性)信息系統(tǒng)脆弱性被利用可能性賦值方法脆弱性類型與嚴(yán)重程度根據(jù)脆弱性的類型和嚴(yán)重程度，對(duì)其進(jìn)行分類，并依據(jù)分類結(jié)果進(jìn)行賦值。威脅來源與動(dòng)機(jī)考慮威脅來源及其潛在的動(dòng)機(jī)，分析其對(duì)脆弱性利用的可能性，并據(jù)此進(jìn)行賦值。安全措施的實(shí)施情況評(píng)估現(xiàn)有安全措施的有效性及其對(duì)脆弱性的防護(hù)能力，作為脆弱性被利用可能性的參考因素。附錄E(資料性)信息系統(tǒng)脆弱性被利用可能性賦值方法24附錄F(資料性)信息系統(tǒng)的資產(chǎn)風(fēng)險(xiǎn)列表包括服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等關(guān)鍵硬件出現(xiàn)故障，導(dǎo)致系統(tǒng)服務(wù)中斷