信息化觀察網

本文來自微信公眾號“安全學習那些事兒”。

2023年8月6日，中國人民銀行發(fā)布《金融信息系統(tǒng)網絡安全風險評估規(guī)范》(GB/T42926-2023，將于2023年12月1日實施。

《規(guī)范》在成熟的風險評估方法論基礎上，結合金融信息系統(tǒng)特點以及信息系統(tǒng)安全建設需求，提出面向金融業(yè)務和金融信息系統(tǒng)共性的網絡安全風險評估模型、流程和風險評估方法。

《規(guī)范》確立了風險評估工作的要點、原則、要素和原理，規(guī)定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。在附錄部分，還展示了評估參考樣例、資產識別與賦值表、信息系統(tǒng)威脅賦值方法、信息系統(tǒng)脆弱性賦值方法、信息系統(tǒng)脆弱性被利用可能性賦值方法、信息系統(tǒng)的資產風險列表。

《規(guī)范》適用于金融管理部門、金融業(yè)機構和網絡安全風險評估服務機構開展金融信息系統(tǒng)網絡安全風險評估工作?！兑?guī)范》提到，金融信息系統(tǒng)作為負責完成金融信息的采集、加工、存儲、轉換、傳輸?shù)挠嬎銠C信息系統(tǒng)，具有及時性、可靠性、連續(xù)性、開放性、保密性、完整性、準確性等特點，針對這些特點在實施風險評估時著重考慮3大工作要點：一是風險要素充分結合業(yè)務要求，增加業(yè)務要素與資產、脆弱性、威脅和風險等要素關系;二是識別信息系統(tǒng)在及時性、連續(xù)性、可靠性、保密性、完整性等方面存在的脆弱性，給出評估指標;三是準確給出金融信息系統(tǒng)風險狀況，提出量化的風險計算公式和風險等級區(qū)間。而4個工作原則為：可控性、全面性、最小影響性、保密性。