本文来自微信公众号“安全学习那些事儿”。
2023年8月6日,中国人民银行发布《金融信息系统网络安全风险评估规范》(GB/T42926-2023,将于2023年12月1日实施。
《规范》在成熟的风险评估方法论基础上,结合金融信息系统特点以及信息系统安全建设需求,提出面向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险评估方法。
《规范》确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。在附录部分,还展示了评估参考样例、资产识别与赋值表、信息系统威胁赋值方法、信息系统脆弱性赋值方法、信息系统脆弱性被利用可能性赋值方法、信息系统的资产风险列表。
《规范》适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。《规范》提到,金融信息系统作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统,具有及时性、可靠性、连续性、开放性、保密性、完整性、准确性等特点,针对这些特点在实施风险评估时着重考虑3大工作要点:一是风险要素充分结合业务要求,增加业务要素与资产、脆弱性、威胁和风险等要素关系;二是识别信息系统在及时性、连续性、可靠性、保密性、完整性等方面存在的脆弱性,给出评估指标;三是准确给出金融信息系统风险状况,提出量化的风险计算公式和风险等级区间。而4个工作原则为:可控性、全面性、最小影响性、保密性。