ICS 03.060 CCS A 11 中华人民共和国国家标准 GB/T 42926—2023 金融信息系统网络安全风险评估规范 Specification of financial information system cybersecurity risk assessment 2023-12-01实施 2023-08-06发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42926—2023 目 次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 4 风险评估工作要点和原则 5 5.1 工作要点 5.2 工作原则 6风险评估要素及原理 6.1 风险评估要素 6.2 风险评估原理 7风险评估阶段性工作 7.1 准备阶段 7.2 识别阶段 7.3 风险计算及处理阶段 附录A（资料性）评估参考样例 15 A.1网络安全制度防护脆弱性评估（235分） 15 A.2网络安全技术防护脆弱性评估（258分） 29 附录B（资料性）资产识别与赋值表 49 附录C（资料性） 信息系统威胁赋值方法 52 附录D（资料性) 信息系统脆弱性赋值方法 53 D.1层面脆弱性评估与赋值· 53 D.2信息系统脆弱性评估与赋值· 54 附录E（资料性） 信息系统脆弱性被利用可能性赋值方法 56 附录F（资料性）信息系统的资产风险列表 57 参考文献 58 GB/T42926—2023 目 次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 4 风险评估工作要点和原则 5 5.1 工作要点 5.2 工作原则 6风险评估要素及原理 6.1 风险评估要素 6.2 风险评估原理 7风险评估阶段性工作 7.1 准备阶段 7.2 识别阶段 7.3 风险计算及处理阶段 附录A（资料性）评估参考样例 15 A.1网络安全制度防护脆弱性评估（235分） 15 A.2网络安全技术防护脆弱性评估（258分） 29 附录B（资料性）资产识别与赋值表 49 附录C（资料性） 信息系统威胁赋值方法 52 附录D（资料性) 信息系统脆弱性赋值方法 53 D.1层面脆弱性评估与赋值· 53 D.2信息系统脆弱性评估与赋值· 54 附录E（资料性） 信息系统脆弱性被利用可能性赋值方法 56 附录F（资料性）信息系统的资产风险列表 57 参考文献 58 GB/T42926—2023 目 次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 4 风险评估工作要点和原则 5 5.1 工作要点 5.2 工作原则 6风险评估要素及原理 6.1 风险评估要素 6.2 风险评估原理 7风险评估阶段性工作 7.1 准备阶段 7.2 识别阶段 7.3 风险计算及处理阶段 附录A（资料性）评估参考样例 15 A.1网络安全制度防护脆弱性评估（235分） 15 A.2网络安全技术防护脆弱性评估（258分） 29 附录B（资料性）资产识别与赋值表 49 附录C（资料性） 信息系统威胁赋值方法 52 附录D（资料性) 信息系统脆弱性赋值方法 53 D.1层面脆弱性评估与赋值· 53 D.2信息系统脆弱性评估与赋值· 54 附录E（资料性） 信息系统脆弱性被利用可能性赋值方法 56 附录F（资料性）信息系统的资产风险列表 57 参考文献 58 GB/T42926—2023 金融信息系统网络安全风险评估规范 1范围 本文件确立了风险评估工作的要点、原则、要素和原理，规定了风险评估准备阶段、识别阶段、风险 计算及处理阶段工作的要求。 本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安 全风险评估工作。 注：本文件条款中的“风险评估”均指“金融信息系统网络安全风险评估”。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T20269—2006 信息安全技术 信息系统安全管理要求 GB/T20984—2022 信息安全技术信息安全风险评估方法 GB/T22240—2020 信息安全技术「 网络安全等级保护定级指南 GB/T25069-2022 信息安全技术 术语 GB/T31509—2015 信息安全技术 信息安全风险评估实施指南 3术语和定义 GB/T20269—2006、GB/T25069—2022和GB/T20984—2022界定的以及下列术语和定义适用 于本文件。 3.1 资产价值assetvalue 资产的重要程度或敏感程度的表征。 注：资产价值是资产的属性，也是进行资产识别的主要内容。 4缩略语 下列缩略语适用于本文件。 CNNVD：中国国家信息安全漏洞库（ChinaNationalVulnerabilityDatabaseofInformationSecuri ty) CNVD：国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase） CPU:中央处理器(Central Processing Unit) CVE：通用漏洞披露（CommonVulnerabilitiesandExposures) 1 GB/T42926—2023 5风险评估工作要点和原则 5.1工作要点 金融信息系统作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统，具有及时 性、可靠性、连续性、开放性、保密性、完整性、准确性等特点，针对这些特点在实施风险评估时着重考虑 以下工作要点： a）风险要素充分结合业务要求，增加业务要素与资产、脆弱性、威胁和风险等要素关系，具体内容 按照第6章执行； b）识别信息系统在及时性、连续性、可靠性、保密性、完整性等方面存在的脆弱性，给出评估指 标，参见附录A； c) 准确给出金融信息系统风险状况，提出量化的风险计算公式和风险等级区间，具体内容按照 7.3执行。 5.2 工作原则 5.2.1可控性 在评估过程中，制定评估方案，并按照方案对评估过程、人员和工具等进行控制，以保证风险评估实 施过程的可控和安全。 5.2.2全面性 按照被评估方提供的评估范围进行全面的评估。 5.2.3最小影响性 从项目管理层面和工具技术层面，将评估工作对金融信息系统正常运行的可能影响降低到最低限 度，首要保障业务系统的稳定运行。 5.2.4保密性 评估方通过与被评估单位签署相关的保密协议和非侵害性协议等方式，保障被评估方的利益。 6风险评估要素及原理 6.1风险评估要素 风险评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险。风险评估围绕基本要素展 开，在对基本要素评估过程中宜充分考虑与基本要素相关的各类属性。风险评估基本要素关系如图1 所示。 2 GB/T42926—2023 业务 支撑 保障 潜在影响 资产 风险 安全措施 潜在影响 降低 存在 /增加 抵御 降低 胞弱性 威胁 利用 图1风险评估基本要素关系图 开展风险评估时，基本要素之间的关系如下： 业务的开展需要资产作为支撑； a) b) 资产存在脆弱性，脆弱性越多则风险越大； c) 威胁利用脆弱性增加风险，可能演变成为安全事件从而对资产和业务造成潜在影响； p 安全措施的实施通过降低资产脆弱性被利用的难易程度，抵御威胁，减少风险，保障业务运行。 6.2风险评估原理 风险评估原理如图2所示。 威胁的种类、来 源、动机及能力 威胁出现的 威胁发牛的时机 可能性 和频率 安全事件发牛的 可能性 脆弱性被利用的 安企措施 可能性 风险 脆弱性 安全事件造成的损失 业务 资产重要性 资产 图2风险评估原理图 风险评估原理如下： 基于威胁的种类、来源、动机及能力，结合威胁发生的时机和频率确定威胁出现的可能性； a) b) 将脆弱性与已实施的安全措施关联分析后确定脆弱性被利用的可能性； c) 根据威胁出现的可能性及脆弱性被利用的可能性确定安全事件发生的可能性； (p 根据资产在业务开展中的作用，将资产与业务关联分析后确定资产重要性； e) 根据脆弱性的严重程度及其作用的资产重要性确定安全事件造成的损失； f) 根据安全事件发生的可能性以及安全事件造成的损失，确定被评估对象面临的风险。 3