《融信息系统网络安全风险评估规范GBT+42926-2023》详细解读.pptx

2024-04-30《融信息系统网络安全风险评估规范GB/T42926-2023》详细解读

contents目录1范围2规范性引用文件3术语和定义4缩略语5风险评估工作要点和原则6风险评估要素及原理7风险评估阶段性工作附录A(资料性)评估参考样例

contents目录A.1网络安全制度防护脆弱性评估(235分)A.2络安全技术防护脆弱性评估(258分)附录B(资料性)资产识别与赋值表附录C(资料性)信息系统威胁赋值方法附录D(资料性)信息系统脆弱性赋值方法D.1层面脆弱性评估与赋值

contents目录D.2信息系统脆弱性评估与赋值附录E(资料性)信息系统脆弱性被利用可能性赋值方法附录F(资料性)信息系统的资产风险列表参考文献

011范围

1.1标准适用对象金融信息系统包括银行、证券、保险等金融机构的信息系统。网络安全风险评估对金融信息系统网络安全风险进行评估的活动。

网络安全风险识别识别金融信息系统存在的网络安全风险。网络安全风险分析对识别出的网络安全风险进行分析，确定其可能性和影响程度。网络安全风险评价根据分析结果，对网络安全风险进行评价，确定风险等级。1.2评估内容

03符合国家法律法规和政策要求遵守国家法律法规和政策要求，对金融信息系统进行网络安全风险评估，确保符合国家相关标准和规范。01提升金融信息系统网络安全防护能力通过评估，发现系统存在的安全漏洞和隐患，及时采取措施加以修复和改进，提高系统的安全防护能力。02保障金融业务安全稳定运行金融信息系统是金融业务的重要支撑，通过评估，确保系统安全稳定运行，保障金融业务的正常开展。1.3评估目的

022规范性引用文件

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等网络安全相关法律法规及政策文件

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》ISO/IEC27001《信息安全管理体系要求》GB/T28448-2019《信息安全技术网络安全等级保护测评要求》NISTSP800-30《风险管理指南》等国内外相关标准及技术规范

JR/T0071-2020《金融行业网络安全等级保护测评指南》JR/T0171-2020《个人金融信息保护技术规范》其他相关金融行业标准及规范以上规范性引用文件为《金融信息系统网络安全风险评估规范》提供了重要的参考和依据，确保了该标准的科学性、实用性和可操作性。同时，这些规范性引用文件也是金融信息系统网络安全风险评估工作的重要指导文件和参考标准。金融行业标准及规范

033术语和定义

指金融机构运用计算机硬件、软件、网络、通信等信息技术手段，实现业务处理、经营管理、客户服务和内部控制等功能的集成化系统。包括但不限于核心业务系统、支付系统、管理系统、渠道系统等。定义涵盖范围3.1金融信息系统

指网络攻击、病毒传播、系统漏洞等可能对金融信息系统造成的安全威胁或损害。定义包括数据泄露、系统瘫痪、业务中断等。表现形式3.2网络安全风险

定义指对金融信息系统可能面临的网络安全风险进行识别、分析和评价的过程。目的通过风险评估，发现潜在的安全隐患和薄弱环节，为制定风险应对策略提供依据。3.3风险评估

指为降低或消除网络安全风险而采取的技术、管理或物理手段。包括预防性控制、检测性控制和纠正性控制等。3.4安全控制措施分类定义

044缩略语

信息安全（InformationSecurity）指信息系统中的信息（包括数据、软件、硬件等）在存储、传输、处理和应用过程中，其机密性、完整性、可用性和可控性得到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露或非法利用的状态。4.1信息安全

网络安全（NetworkSecurity）指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。4.2网络安全

风险评估（RiskAssessment）指识别和分析可能影响信息系统网络安全的事件或条件，以及这些事件或条件发生的可能性及其对网络安全的影响程度，为制定安全策略和措施提供依据。4.3风险评估

4.4安全控制安全控制（SecurityControl）指为保护信息系统网络安全而实施的一系列技术、管理和物理措施，包括访问控制、加密、审计跟踪、物理保护等。这些控制措施旨在降低网络安全风险，确保信息系统的机密性、完整性、可用性和可控性。

055风险评估工作要点和原则

明确评估对象、评估目的、评估范围及边界，确保评估工作全面覆盖金融信息系统的各个层面。确定评估目标和范围识别金融信息系统中的重要资产、关键业务以及可能面临的威胁，为后续的风险评估提供基础。识别关