GB/T 42926-2023
基本信息
标准号: GB/T 42926-2023
中文名称:金融信息系统网络安全风险评估规范
标准类别:国家标准(GB)
英文名称:Specification of financial information system cybersecurity risk assessment
标准状态:现行
发布日期:2023-08-06
实施日期:2023-12-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:22138293
标准分类号
标准ICS号:社会学、 服务、公司(企业)的组织和管理、行政、运输>>03.060金融、银行、货币体系、保险
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
出版信息
出版社:中国标准出版社
页数:64页
标准价格:97.0
相关单位信息
起草人:张海燕、唐辉、高强裔、潘丽扬、张璐、张澍、杨剑、孟宪哲、李吉、金红月、李者龙
起草单位:中国金融电子化集团有限公司、北京国家金融科技认证中心有限公司、北京天融信网络安全技术有限公司、中国工商银行股份有限公司、亚信科技(成都)有限公司
归口单位:全国金融标准化技术委员会(SAC/TC 180)
发布部门:国家市场监督管理总局 国家标准化管理委员会
主管部门:全国金融标准化技术委员会(SAC/TC 180)
标准简介
本文件确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。
本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。
注:本文件条款中的“风险评估”均指“金融信息系统网络安全风险评估”。
标准图片预览
标准内容
ICS03.060
CCS A 11
中华人民共和国国家标准國
GB/T42926—2023
金融信息系统网络安全风险评估规范Specification of financial information system cybersecurity risk assessment2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
GB/T42926—2023
规范性引用文件
术语和定义
缩略语
5风险评估工作要点和原则
工作要点
工作原则
6风险评估要素及原理
风险评估要素
风险评估原理
风险评估阶段性工作
准备阶段
识别阶段
风险计算及处理阶段
附录A(资料性)评估参考样例
网络安全制度防护脆弱性评估(235分)网络安全技术防护脆弱性评估(258分)附录B(资料性)资产识别与赋值表附录((资料性)
信息系统威胁赋值方法
附录D)(资料性)
信息系统脆弱性赋值方法
D.1层面脆弱性评估与赋值·
[).2信息系统脆弱性评估与赋值·次
附录E(资料性)
信息系统脆弱性被利用可能性赋值方法附录F(资料性)信息系统的资产风险列表参考文献
GB/T42926-2023
第1部分:标准化文件的结构利起草规则》的规定本文件按照GB/T1.1一2020《标准化工作导则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国金融电子化集团有限公司、北京国家金融科技认证中心有限公司、北京天融信网络安全技术有限公司、中国工商银行股份有限公司、亚信科技(成都)有限公司。本文件主要起草人:张海燕、唐辉、高强裔、潘丽扬、张璐、张、杨剑、孟宪哲、李吉、金红月、李者龙、GB/T42926—2023
随着金融与科技融合成为新趋势,云计算、大数据、物联网、移动互联、人工智能等新型金融科技应用场景呈爆发式增长,金融信息系统而临复杂多变的网络安全威胁和日趋严峻的网络安全形势.开展金融信息系统网络安全风险评估有助于全面分析金融信息系统面临的威胁、存在的脆弱性以及风险等级,并基于风险评估结果开展风险处理工作。为了更好地适应金融科技变革,金融信息系统网络安全风险评估体系也需进一步完善。
本文件在成熟的风险评估方法论基础上.结合金融信息系统特点以及信息系统安全建设需求,提山而向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险分析方法,为金融信息系统网络安全风险评估提供指导。
1范围
金融信息系统网络安全风险评估规范GB/T42926—2023
本文件确立了风险评估工作的要点、原则、要素和原理.规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。
本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。
注:本文件条款中的“风险评估\均指“金融信息系统网络安全风险评估”。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20269—2006
GB/T20984—2022
GB/T22240—2020
GB/T25069—2022
信息安全技术信息系统安全管理要求信息安全技术信息安全风险评估方法信息安全技术网络安全等级保护定级指南信息安全技术术语
信息安全技术信息安全风险评估实施指南GB/T31509—2015
3术语和定义
GB/T20269—2006、GB/T25069—2022和(GB/T20984—2022界定的以及下列术语和定义适用于本文件。
assetvalue
资产价值
资产的重要程度或缴感程度的表征。注:资产价值是资产的属性。也是逃行资产识别的主要内容。缩略语
下列缩略语适用于本文件。
CNNVD:中国国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformationSecurity)
CNVD):国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase)CPU:中央处理器(CentralProcessingUnit)CVE:通用漏洞披露(CommonVulnerabilitiesandExposures)1
GB/T42926-2023
5风险评估工作要点和原则
5.1工作要点
金融信息系统作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统,具有及时性、可靠性、连续性、开放性、保密性、完整性、准确性等特点,针对这些特点在实施风险评估时着重考虑以下工作要点:
a)风险要索充分结合业务要求,增加业务要素与资产、脆弱性、威胁和风险等要素关系,具体内容按照第6章执行;
识别信息系统在及时性、连续性、可靠性、保密性、完整性等方而存在的脆弱性,给出评估指b)
标,参见附录A;
准确给旧金融信息系统风险状况,提出量化的风险计算公式和风险等级区间,具体内容按照7.3执行。
2工作原则
5.2.1可控性
在评估过程中,制定评估方案,并按照方案对评估过程、人员和工具等进行控制,以保证风险评估实施过程的可控和安全。
5.2.2全面性
按照被评估方提供的评估范围进行全面的评估,5.2.3最小影响性
从项目管理层面和工具技术层面.将评估工作对金融信息系统正常运行的可能影响降低到最低限度,首要保障业务系统的稳定运行。5.2.4保密性
评估方通过与被评估单位签署相关的保密协议和非侵害性协议等方式,保障被评估方的利益。风险评估要素及原理
风险评估要素
风险评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险。风险评估围绕基本要素展开,在对基本要素评估过程中宜充分考虑与基本要素相关的各类属性。风险评估基本要素关系如图1所示。
脆弱性
潜在影响
/增加
清在影响
图1风险评估基本要素关系图
开展风险评估时,基本要素之间的关系如下:a)
业务的开展需要资产作为支撑;)下载标准就来标准下载网
资产存在脆弱性,脆弱性越多则风险越大;c)
安全措施
GB/T42926—2023
威胁利用脆弱性增加风险,可能演变成为安全事件从而对资产和业务造成潜在影响;安全措施的实施通过降低资产脆弱性被利用的难易程度.抵御威胁,减少风险,保障业务运行。6.2
风险评估原理
风险评估原理如图2所示。
威胁的种类、来
源、动机及能力
威胁发生的时机
和频率
安企措施
脆弱性
风险评估原理如下:
威胁出现的
可能性
安全事件发生的
可能性
脆弱性被利用的
可能性
安全事件造成的损失
资产重要性
图2风险评估原理图
基于威胁的种类、来源、动机及能力,结合威胁发生的时机和频率确定威胁出现的可能性;将脆弱性与已实施的安全措施关联分析后确定脆弱性被利用的可能性;根据威胁出现的可能性及脆弱性被利用的可能性确定安全事件发生的可能性;根据资产在业务开展中的作用.将资产与业务关联分析后确定资产重要性;根据脆弱性的严重程度及其作用的资产重要性确定安全事件造成的损失:根据安全事件发生的可能性以及安全事件造成的损失,确定被评估对象面临的风险。3
GB/T42926—2023
7风险评估阶段性工作
7.1准备阶段
7.1.1确定目标
被评估组织应首先根据当前信息系统的实际情况确定在信息系统生命周期中所处的阶段·并以此来明确风险评估自标。信息系统规划阶段、设计阶段、实施阶段、交付阶段、运行阶段、废弃阶段等生命周期不同阶段的风险评估日标和侧重点,具体按照G1B/T209842022的附录A实施。7.1.2成立工作组
风险评估工作形式以自评估为主.自评估和检查评估相互结合、互为补充。评估方组建风险评估管理与实施团队,以支持整个风险评估过程的推进。自评估可用金融业机构内部开发、运维、安全和管理等相关业务骨干、技术人员利管理人员组成风险评估工作组,检查评估由被评估的上级主管部门或业务主管部门组成工作组。金融业机构应根据自身情况组建自评估工作组或检查评估工作组,工作组能够保证风险评估工作的有效开展。7.1.3确定范围
评估范围可通过评估工作组的工作会议进行确定,包括组织的整个或部分信息及与信息处理相关的各类资产,如网络设备、主机设备、应用系统、数据、文档、管理制度等。评估范围确定后.待评估系统管理人员应根据选定的内容准备相关资料,例如:网络拓扑结构图、信息资产清单、应用系统说明文档、组织机构设置说明等。7.1.4信息系统调研
评估工作组应对金融信息系统进行充分调研,调研内容至少应包括:主要的硬件、软件数据和信息,网络结构,管理制度.管理人员等。具体按照GB/T31509一2015的附录A实施。为确保评估工作的全面性、提高评估工作的效率,评估工作组可采取资料调阅、问卷调查、人员访谈、工具检测相结合的方式进行系统调研。7.1.5制定方案
风险评估方案的内容一股包括但不限于:a)风险评估工作框架:包括评估目标、评估范围、评估依据等:评估团队组织:包括评估团队成员、组织结构、角色、责任等:b)
评估工作计划:包括各阶段工作内容、工作形式、工作成果、工作进度等:)评估工作实施:包括保密协议、评估工作环境要求、评估方法、工具选择(按照(B/T209842022附求C选择)、应急处置等;e)项目验收方式:包括验收方式、验收交付等。7.1.6权限准备
开展风险评估时.应控制物理环境出入权限、设备配置核查权限、文件调研权限、应用系统访问权限及评估工具接人权限.所需评估权限见表1。4
权限分类
物理环境出入权限
设备配置核查权限
文件调研权限
应用系统访问权限
评估工具接入权限
7.1.7过程文档记录
表1所需评估权限
权限描述
GB/T42926—2023
a)评估工作组为开展各项评估工作.需要进人办公环境的许可权限;1)评估工作组进行物理环境安全评估工作时.需要进出机房的许可权限在进行服务器设备、通信网络设备、安全设备安全配置核查时,评估工作组需要被评估方提供查看相关设备配置的权限在进行文件调研时.评估工作组需被评估方提供调阅各类文档的权限以及相关人员支持、配合、访谈的权限
进行应用安全测试时,评估工作组需要各子系统的用户登录访问权限,如普通操作用户、管理员用户、运维用户等不同的用户权限在进行安全测试时.评估工作组利用风险评估工具(如漏洞扫措工具、弱日令扫描工具、配置核查工具等)全面评估网络设备、操作系统、数据库、应用层面的安全漏洞.评估工作组使用风险评估工具系统开展评估前·需确保评估工具与被扫描系统、设备之间的网络连接成功
按照7.1.1~7.1.6的要求对评估准备阶段的过程进行记录和管理.检查评估准备流程是否规范.并将评估准备过程中的文档.如信息系统调研文档、风险评估方案等进行保存,作为工作文件存档。7.2
识别阶段
7.2.1资产识别
7.2.1.1村
资产是风险评估的最终评估对象。在一个全而的风险评估中,风险的所有重要因素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为能.从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都造成一定的影响。因此资产的评估是风险评估的一个重要的步骤,资产识别和赋值的准确性将影响着后面所有因素的评估。
资产类型
风险评估按照GB/T20984一2022中5.2.1资产分类方法.将系统的所有资产按业务资产、系统资产、系统组件和单元资产进行分类识别。7.2.1.3
资产调查
资产调查是识别金融信息系统中资产的重要途径.包括业务资产、系统资产、系统组件和单元资产四个方面.具体识别内容按照GB/T20984一2022的5.2.1.2.1、5.2.1.3.1、5.2.1.4.1执行。资产调查的方法包括阅读文档、访谈相关人员、查看相关资产等。一般情况下,可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手朋、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图等,识别组5
GB/T42926—2023
织和信息系统的业务资产、系统资产、系统组件利单元资产。根据资产识别与赋值表(见附录B)并结合资产现状进行资产识别与资产赋值。如文档记录信息之间存在互相矛盾或不清楚的地方,以及文档记录信息与实际情况有出人·评估工作组就主要资产和主要间题与被评估组织相关人员进行核实,并与在组织和信息系统管理中担任不同角色的人员进行访谈.包括主管领导、业务人员、开发人员、实施人员、运维人员、监督管理人员等。通常情况下,经过文档查阅、现场查看和人员访谈.基本可清晰识别组织和信息系统资产,对主要资产应进行现场实际查看。
7.2.1.4资产赋值
按照GB/T20984一2022的附录D分别对资产的业务重要性、保密性、完整性、可用性这四个安全属性进行赋值,其中业务重要性赋值与信息系统的网络安全等级保护级别(按照GI3/T22240一2020定级)保持一致,资产赋值应据资产在业务重要性、保密性、完整性利可用性上的赋值综合评定,方法如下所述。
a)依据资产的保密性、完整性和可用性上的赋值,得到这三个安全属性的最高值。b)
结合信息系统的网络安全等级保护级别,依据表2对资产进行赋值。c)
对赋值的数据进行有效性验证,验证方法包括但不限于以下内容。1)
类型检查:检查数据的类型是否是整型。2)
值域检查:检查业务重要性值域是否是大于0小于5的整数,资产的保密性、完整性和可用性值域是否是大于0、小于或等于5的整数。勾稽关系校验:对业务重要性赋值与网络安全等级保护级别、资产的保密性、完整性和可3)
用性的最高值所在区间进行比对,验证其准确性。例如:网络安全等级保护级别是四级·业务重要性赋值数据应该是4,否则视为不符合勾稽关系校验·应重新赋值:业务重要性赋值数据是4,资产的保密性、完整性和可用性的最高值应至少为4(高区间),否则视为不符合勾关系校验,应重新赋值。)记录数据校验结果,对资产识别过程产生的数据或文档进行记录并归档管理。表2资产赋值表
业务重要性(网络
安全等级保护级别》
资产(保密性、完整性利和可用性)最高值所在区间高区间(5很高、4高)
中等区间(3)
低区间(2低、1很低)
注1:四级系统的资产赋值区间选择高区间(4~5),三级系统的资产赋值区间选择中等区间到高区间(3~5),二级系统的资产赋值区间选择在低区间到等区间(1~3),一级系统的资产赋值区间选择在低区间(1~2)。注2:根据金融业务特点,金融业普邀重视业务的连续性、重要数据和个人信息的保护,该类资产的赋值区间选择高区间。
7.2.2威胁识别
7.2.2.1概述
GB/T42926—2023
作为风险评估的重要因素,威胁是一个客观存在的事物.无论对于多么安全的信息系统,它都存在。它可能源于意外的.或有预谋的事件。一般来说,威胁总是要利用系统、应用或服务的脆弱性才可能成功地对资产造成损害。
在威胁评估过程中,首先要根据资产所处的环境条件和资产以前遭受威胁损害的情况来对系统需要保护的每一项关键资产进行威胁识别。一项资产可能面临着多个威胁.同一个威胁可能对不同的资产造成影响,针对每个威胁,对其发生的可能性利威胁的严重程度进行分析,最终对威胁赋值。其中威胁发生的可能性宜考虑以下因系的影响:资产的吸引力、资产转化的难易程度、威胁造成影响所需技术能力级别、脆弱性被利用的难易程度等。7.2.2.2
威胁来源、动机及能力
按照G3/T31509一2015的5.2.3.3.2进行威胁源动机及其能力分析,并对不同威胁能力赋予不同的能力级别,威胁能力级别赋值见表3。表3威胁能力级别赋值表
威胁能力级别
3威胁调查方法
组织很严密.具有非常充足的资金、人力和技术资源:或具有很丰富的知识和技能,攻击能力很强:或掌握关于系统的大量信息·具有很高的权限组织较严密.具有比较充足的资金、人力和技术资源:或具有比较丰富的知识和技能,攻击能力比较强;或掌握关于系统的较多信息.具有较高的权限:或严重自然灾害
具有一定的资金、人力和技术资源:或具有一股的知识和技能.攻击能力一般;或掌握关于系统的一般信息,具有一般的权限:或较严重白然灾害
具有较低的知识和技能,攻击能力较低;或掌握关于系统的少量信息,具有较低的权限:或般白然灾害
具有很低的知识和技能.攻击能力很低;或掌握关于系统的极少量信息
根据业务特点和服务特点.形成如下威胁调查方法:通过网络提供服务的金融信息系统,根据安全洞排名、系统可用性指标要求、以往发生的安a)
全事件总结等,分析系统面临的威胁:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS A 11
中华人民共和国国家标准國
GB/T42926—2023
金融信息系统网络安全风险评估规范Specification of financial information system cybersecurity risk assessment2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
GB/T42926—2023
规范性引用文件
术语和定义
缩略语
5风险评估工作要点和原则
工作要点
工作原则
6风险评估要素及原理
风险评估要素
风险评估原理
风险评估阶段性工作
准备阶段
识别阶段
风险计算及处理阶段
附录A(资料性)评估参考样例
网络安全制度防护脆弱性评估(235分)网络安全技术防护脆弱性评估(258分)附录B(资料性)资产识别与赋值表附录((资料性)
信息系统威胁赋值方法
附录D)(资料性)
信息系统脆弱性赋值方法
D.1层面脆弱性评估与赋值·
[).2信息系统脆弱性评估与赋值·次
附录E(资料性)
信息系统脆弱性被利用可能性赋值方法附录F(资料性)信息系统的资产风险列表参考文献
GB/T42926-2023
第1部分:标准化文件的结构利起草规则》的规定本文件按照GB/T1.1一2020《标准化工作导则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国金融标准化技术委员会(SAC/TC180)归口。本文件起草单位:中国金融电子化集团有限公司、北京国家金融科技认证中心有限公司、北京天融信网络安全技术有限公司、中国工商银行股份有限公司、亚信科技(成都)有限公司。本文件主要起草人:张海燕、唐辉、高强裔、潘丽扬、张璐、张、杨剑、孟宪哲、李吉、金红月、李者龙、GB/T42926—2023
随着金融与科技融合成为新趋势,云计算、大数据、物联网、移动互联、人工智能等新型金融科技应用场景呈爆发式增长,金融信息系统而临复杂多变的网络安全威胁和日趋严峻的网络安全形势.开展金融信息系统网络安全风险评估有助于全面分析金融信息系统面临的威胁、存在的脆弱性以及风险等级,并基于风险评估结果开展风险处理工作。为了更好地适应金融科技变革,金融信息系统网络安全风险评估体系也需进一步完善。
本文件在成熟的风险评估方法论基础上.结合金融信息系统特点以及信息系统安全建设需求,提山而向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险分析方法,为金融信息系统网络安全风险评估提供指导。
1范围
金融信息系统网络安全风险评估规范GB/T42926—2023
本文件确立了风险评估工作的要点、原则、要素和原理.规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。
本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。
注:本文件条款中的“风险评估\均指“金融信息系统网络安全风险评估”。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20269—2006
GB/T20984—2022
GB/T22240—2020
GB/T25069—2022
信息安全技术信息系统安全管理要求信息安全技术信息安全风险评估方法信息安全技术网络安全等级保护定级指南信息安全技术术语
信息安全技术信息安全风险评估实施指南GB/T31509—2015
3术语和定义
GB/T20269—2006、GB/T25069—2022和(GB/T20984—2022界定的以及下列术语和定义适用于本文件。
assetvalue
资产价值
资产的重要程度或缴感程度的表征。注:资产价值是资产的属性。也是逃行资产识别的主要内容。缩略语
下列缩略语适用于本文件。
CNNVD:中国国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformationSecurity)
CNVD):国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase)CPU:中央处理器(CentralProcessingUnit)CVE:通用漏洞披露(CommonVulnerabilitiesandExposures)1
GB/T42926-2023
5风险评估工作要点和原则
5.1工作要点
金融信息系统作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统,具有及时性、可靠性、连续性、开放性、保密性、完整性、准确性等特点,针对这些特点在实施风险评估时着重考虑以下工作要点:
a)风险要索充分结合业务要求,增加业务要素与资产、脆弱性、威胁和风险等要素关系,具体内容按照第6章执行;
识别信息系统在及时性、连续性、可靠性、保密性、完整性等方而存在的脆弱性,给出评估指b)
标,参见附录A;
准确给旧金融信息系统风险状况,提出量化的风险计算公式和风险等级区间,具体内容按照7.3执行。
2工作原则
5.2.1可控性
在评估过程中,制定评估方案,并按照方案对评估过程、人员和工具等进行控制,以保证风险评估实施过程的可控和安全。
5.2.2全面性
按照被评估方提供的评估范围进行全面的评估,5.2.3最小影响性
从项目管理层面和工具技术层面.将评估工作对金融信息系统正常运行的可能影响降低到最低限度,首要保障业务系统的稳定运行。5.2.4保密性
评估方通过与被评估单位签署相关的保密协议和非侵害性协议等方式,保障被评估方的利益。风险评估要素及原理
风险评估要素
风险评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险。风险评估围绕基本要素展开,在对基本要素评估过程中宜充分考虑与基本要素相关的各类属性。风险评估基本要素关系如图1所示。
脆弱性
潜在影响
/增加
清在影响
图1风险评估基本要素关系图
开展风险评估时,基本要素之间的关系如下:a)
业务的开展需要资产作为支撑;)下载标准就来标准下载网
资产存在脆弱性,脆弱性越多则风险越大;c)
安全措施
GB/T42926—2023
威胁利用脆弱性增加风险,可能演变成为安全事件从而对资产和业务造成潜在影响;安全措施的实施通过降低资产脆弱性被利用的难易程度.抵御威胁,减少风险,保障业务运行。6.2
风险评估原理
风险评估原理如图2所示。
威胁的种类、来
源、动机及能力
威胁发生的时机
和频率
安企措施
脆弱性
风险评估原理如下:
威胁出现的
可能性
安全事件发生的
可能性
脆弱性被利用的
可能性
安全事件造成的损失
资产重要性
图2风险评估原理图
基于威胁的种类、来源、动机及能力,结合威胁发生的时机和频率确定威胁出现的可能性;将脆弱性与已实施的安全措施关联分析后确定脆弱性被利用的可能性;根据威胁出现的可能性及脆弱性被利用的可能性确定安全事件发生的可能性;根据资产在业务开展中的作用.将资产与业务关联分析后确定资产重要性;根据脆弱性的严重程度及其作用的资产重要性确定安全事件造成的损失:根据安全事件发生的可能性以及安全事件造成的损失,确定被评估对象面临的风险。3
GB/T42926—2023
7风险评估阶段性工作
7.1准备阶段
7.1.1确定目标
被评估组织应首先根据当前信息系统的实际情况确定在信息系统生命周期中所处的阶段·并以此来明确风险评估自标。信息系统规划阶段、设计阶段、实施阶段、交付阶段、运行阶段、废弃阶段等生命周期不同阶段的风险评估日标和侧重点,具体按照G1B/T209842022的附录A实施。7.1.2成立工作组
风险评估工作形式以自评估为主.自评估和检查评估相互结合、互为补充。评估方组建风险评估管理与实施团队,以支持整个风险评估过程的推进。自评估可用金融业机构内部开发、运维、安全和管理等相关业务骨干、技术人员利管理人员组成风险评估工作组,检查评估由被评估的上级主管部门或业务主管部门组成工作组。金融业机构应根据自身情况组建自评估工作组或检查评估工作组,工作组能够保证风险评估工作的有效开展。7.1.3确定范围
评估范围可通过评估工作组的工作会议进行确定,包括组织的整个或部分信息及与信息处理相关的各类资产,如网络设备、主机设备、应用系统、数据、文档、管理制度等。评估范围确定后.待评估系统管理人员应根据选定的内容准备相关资料,例如:网络拓扑结构图、信息资产清单、应用系统说明文档、组织机构设置说明等。7.1.4信息系统调研
评估工作组应对金融信息系统进行充分调研,调研内容至少应包括:主要的硬件、软件数据和信息,网络结构,管理制度.管理人员等。具体按照GB/T31509一2015的附录A实施。为确保评估工作的全面性、提高评估工作的效率,评估工作组可采取资料调阅、问卷调查、人员访谈、工具检测相结合的方式进行系统调研。7.1.5制定方案
风险评估方案的内容一股包括但不限于:a)风险评估工作框架:包括评估目标、评估范围、评估依据等:评估团队组织:包括评估团队成员、组织结构、角色、责任等:b)
评估工作计划:包括各阶段工作内容、工作形式、工作成果、工作进度等:)评估工作实施:包括保密协议、评估工作环境要求、评估方法、工具选择(按照(B/T209842022附求C选择)、应急处置等;e)项目验收方式:包括验收方式、验收交付等。7.1.6权限准备
开展风险评估时.应控制物理环境出入权限、设备配置核查权限、文件调研权限、应用系统访问权限及评估工具接人权限.所需评估权限见表1。4
权限分类
物理环境出入权限
设备配置核查权限
文件调研权限
应用系统访问权限
评估工具接入权限
7.1.7过程文档记录
表1所需评估权限
权限描述
GB/T42926—2023
a)评估工作组为开展各项评估工作.需要进人办公环境的许可权限;1)评估工作组进行物理环境安全评估工作时.需要进出机房的许可权限在进行服务器设备、通信网络设备、安全设备安全配置核查时,评估工作组需要被评估方提供查看相关设备配置的权限在进行文件调研时.评估工作组需被评估方提供调阅各类文档的权限以及相关人员支持、配合、访谈的权限
进行应用安全测试时,评估工作组需要各子系统的用户登录访问权限,如普通操作用户、管理员用户、运维用户等不同的用户权限在进行安全测试时.评估工作组利用风险评估工具(如漏洞扫措工具、弱日令扫描工具、配置核查工具等)全面评估网络设备、操作系统、数据库、应用层面的安全漏洞.评估工作组使用风险评估工具系统开展评估前·需确保评估工具与被扫描系统、设备之间的网络连接成功
按照7.1.1~7.1.6的要求对评估准备阶段的过程进行记录和管理.检查评估准备流程是否规范.并将评估准备过程中的文档.如信息系统调研文档、风险评估方案等进行保存,作为工作文件存档。7.2
识别阶段
7.2.1资产识别
7.2.1.1村
资产是风险评估的最终评估对象。在一个全而的风险评估中,风险的所有重要因素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为能.从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都造成一定的影响。因此资产的评估是风险评估的一个重要的步骤,资产识别和赋值的准确性将影响着后面所有因素的评估。
资产类型
风险评估按照GB/T20984一2022中5.2.1资产分类方法.将系统的所有资产按业务资产、系统资产、系统组件和单元资产进行分类识别。7.2.1.3
资产调查
资产调查是识别金融信息系统中资产的重要途径.包括业务资产、系统资产、系统组件和单元资产四个方面.具体识别内容按照GB/T20984一2022的5.2.1.2.1、5.2.1.3.1、5.2.1.4.1执行。资产调查的方法包括阅读文档、访谈相关人员、查看相关资产等。一般情况下,可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手朋、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图等,识别组5
GB/T42926—2023
织和信息系统的业务资产、系统资产、系统组件利单元资产。根据资产识别与赋值表(见附录B)并结合资产现状进行资产识别与资产赋值。如文档记录信息之间存在互相矛盾或不清楚的地方,以及文档记录信息与实际情况有出人·评估工作组就主要资产和主要间题与被评估组织相关人员进行核实,并与在组织和信息系统管理中担任不同角色的人员进行访谈.包括主管领导、业务人员、开发人员、实施人员、运维人员、监督管理人员等。通常情况下,经过文档查阅、现场查看和人员访谈.基本可清晰识别组织和信息系统资产,对主要资产应进行现场实际查看。
7.2.1.4资产赋值
按照GB/T20984一2022的附录D分别对资产的业务重要性、保密性、完整性、可用性这四个安全属性进行赋值,其中业务重要性赋值与信息系统的网络安全等级保护级别(按照GI3/T22240一2020定级)保持一致,资产赋值应据资产在业务重要性、保密性、完整性利可用性上的赋值综合评定,方法如下所述。
a)依据资产的保密性、完整性和可用性上的赋值,得到这三个安全属性的最高值。b)
结合信息系统的网络安全等级保护级别,依据表2对资产进行赋值。c)
对赋值的数据进行有效性验证,验证方法包括但不限于以下内容。1)
类型检查:检查数据的类型是否是整型。2)
值域检查:检查业务重要性值域是否是大于0小于5的整数,资产的保密性、完整性和可用性值域是否是大于0、小于或等于5的整数。勾稽关系校验:对业务重要性赋值与网络安全等级保护级别、资产的保密性、完整性和可3)
用性的最高值所在区间进行比对,验证其准确性。例如:网络安全等级保护级别是四级·业务重要性赋值数据应该是4,否则视为不符合勾稽关系校验·应重新赋值:业务重要性赋值数据是4,资产的保密性、完整性和可用性的最高值应至少为4(高区间),否则视为不符合勾关系校验,应重新赋值。)记录数据校验结果,对资产识别过程产生的数据或文档进行记录并归档管理。表2资产赋值表
业务重要性(网络
安全等级保护级别》
资产(保密性、完整性利和可用性)最高值所在区间高区间(5很高、4高)
中等区间(3)
低区间(2低、1很低)
注1:四级系统的资产赋值区间选择高区间(4~5),三级系统的资产赋值区间选择中等区间到高区间(3~5),二级系统的资产赋值区间选择在低区间到等区间(1~3),一级系统的资产赋值区间选择在低区间(1~2)。注2:根据金融业务特点,金融业普邀重视业务的连续性、重要数据和个人信息的保护,该类资产的赋值区间选择高区间。
7.2.2威胁识别
7.2.2.1概述
GB/T42926—2023
作为风险评估的重要因素,威胁是一个客观存在的事物.无论对于多么安全的信息系统,它都存在。它可能源于意外的.或有预谋的事件。一般来说,威胁总是要利用系统、应用或服务的脆弱性才可能成功地对资产造成损害。
在威胁评估过程中,首先要根据资产所处的环境条件和资产以前遭受威胁损害的情况来对系统需要保护的每一项关键资产进行威胁识别。一项资产可能面临着多个威胁.同一个威胁可能对不同的资产造成影响,针对每个威胁,对其发生的可能性利威胁的严重程度进行分析,最终对威胁赋值。其中威胁发生的可能性宜考虑以下因系的影响:资产的吸引力、资产转化的难易程度、威胁造成影响所需技术能力级别、脆弱性被利用的难易程度等。7.2.2.2
威胁来源、动机及能力
按照G3/T31509一2015的5.2.3.3.2进行威胁源动机及其能力分析,并对不同威胁能力赋予不同的能力级别,威胁能力级别赋值见表3。表3威胁能力级别赋值表
威胁能力级别
3威胁调查方法
组织很严密.具有非常充足的资金、人力和技术资源:或具有很丰富的知识和技能,攻击能力很强:或掌握关于系统的大量信息·具有很高的权限组织较严密.具有比较充足的资金、人力和技术资源:或具有比较丰富的知识和技能,攻击能力比较强;或掌握关于系统的较多信息.具有较高的权限:或严重自然灾害
具有一定的资金、人力和技术资源:或具有一股的知识和技能.攻击能力一般;或掌握关于系统的一般信息,具有一般的权限:或较严重白然灾害
具有较低的知识和技能,攻击能力较低;或掌握关于系统的少量信息,具有较低的权限:或般白然灾害
具有很低的知识和技能.攻击能力很低;或掌握关于系统的极少量信息
根据业务特点和服务特点.形成如下威胁调查方法:通过网络提供服务的金融信息系统,根据安全洞排名、系统可用性指标要求、以往发生的安a)
全事件总结等,分析系统面临的威胁:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。