2023年8月6日，全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的《金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 42926-2023）國(guó)家標(biāo)準(zhǔn)文件發(fā)布，將于2023年12月1日正式實(shí)施。

風(fēng)險(xiǎn)管理是網(wǎng)絡(luò)安全的基礎(chǔ)工作，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的重要基石。風(fēng)險(xiǎn)評(píng)估工作在我國(guó)各級(jí)網(wǎng)絡(luò)安全治理工作中發(fā)揮著重要作用。

作為我國(guó)首個(gè)針對(duì)金融信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)的發(fā)布與實(shí)施，是我國(guó)建立建全網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系、網(wǎng)絡(luò)安全保障體系、網(wǎng)絡(luò)安全監(jiān)管體系的一項(xiàng)重要舉措。對(duì)促進(jìn)我國(guó)網(wǎng)絡(luò)安全水平與行業(yè)發(fā)展具有積極意義。對(duì)金融管理部門、金融業(yè)機(jī)構(gòu)、評(píng)估機(jī)構(gòu)開(kāi)展針對(duì)金融信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作具有統(tǒng)一、規(guī)范和指導(dǎo)的作用。對(duì)其他行業(yè)針對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作也極具參考價(jià)值。

本文將對(duì)此標(biāo)準(zhǔn)的重點(diǎn)進(jìn)行解讀

1.該標(biāo)準(zhǔn)明確了金融信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的主體和客體

該標(biāo)準(zhǔn)在“1范圍”章節(jié)針對(duì)標(biāo)準(zhǔn)的適用風(fēng)險(xiǎn)評(píng)估主體對(duì)象明確。

“本文件適用于金融管理部門、金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開(kāi)展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作”

該標(biāo)準(zhǔn)明確了開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的主體為，包括金融行業(yè)的監(jiān)管部門、從業(yè)單位及服務(wù)供應(yīng)商三級(jí)主體對(duì)象，在開(kāi)展金融信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作時(shí)都適用該標(biāo)準(zhǔn)。

該標(biāo)準(zhǔn)明確了風(fēng)險(xiǎn)評(píng)估工作的客體為金融信息系統(tǒng)，結(jié)合“5.1 工作要點(diǎn)”，進(jìn)一步明確了金融信息系統(tǒng)指的是作為負(fù)責(zé)完成金融信息的采集、加工、存儲(chǔ)、轉(zhuǎn)換、傳輸?shù)挠?jì)算機(jī)信息系統(tǒng)。即包括組成金融信息系統(tǒng)的網(wǎng)絡(luò)傳輸設(shè)備，安全傳輸設(shè)備，服務(wù)器、虛擬機(jī)等計(jì)算設(shè)備，存儲(chǔ)設(shè)備，應(yīng)用、中間件、操作系統(tǒng)、數(shù)據(jù)庫(kù)等應(yīng)用和系統(tǒng)軟件等，而非單個(gè)軟硬件資產(chǎn)對(duì)象。

2.將“業(yè)務(wù)”提升為金融信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素

該標(biāo)準(zhǔn)繼承了現(xiàn)有“信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南（GB/T 31509-2015）、信息安全風(fēng)險(xiǎn)評(píng)估方法（GB/T 20984-2022）”的成熟風(fēng)險(xiǎn)評(píng)估方法論，并結(jié)合金融信息系統(tǒng)特點(diǎn)，提出并強(qiáng)調(diào)了“金融業(yè)務(wù)”這一關(guān)鍵要素。

“風(fēng)險(xiǎn)要素充分結(jié)合業(yè)務(wù)要求,增加業(yè)務(wù)要素與資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)等要素關(guān)系”

“6.1 風(fēng)險(xiǎn)評(píng)估要素”該標(biāo)準(zhǔn)新引入了“業(yè)務(wù)”這一關(guān)鍵風(fēng)險(xiǎn)要素。相對(duì)“GB/T 20984-2022”，增加了資產(chǎn)支撐業(yè)務(wù)、風(fēng)險(xiǎn)影響業(yè)務(wù)、安全措施保障業(yè)務(wù)的三項(xiàng)新的要素關(guān)系。

“6.2 風(fēng)險(xiǎn)評(píng)估原理”，強(qiáng)調(diào)了業(yè)務(wù)要素在金融信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作中的前置作用，確定資產(chǎn)的重要性，應(yīng)先對(duì)資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)分析，明確資產(chǎn)在業(yè)務(wù)開(kāi)展中的作用。

3.在風(fēng)險(xiǎn)評(píng)估各環(huán)節(jié)提出了進(jìn)一步的方法指導(dǎo)

“7.2.1.4 資產(chǎn)賦值”章節(jié)中，明確了在“GB/T 20984-2022”基礎(chǔ)上，依據(jù)業(yè)務(wù)重要性與資產(chǎn)的CIA三要素進(jìn)行資產(chǎn)賦值的方法指導(dǎo)。

“7.2.2.2 威脅來(lái)源、動(dòng)機(jī)及能力”章節(jié)，針對(duì)威脅等級(jí)的區(qū)分，提出了相對(duì)“GB/T 20984-2022”更加細(xì)化的威脅等級(jí)區(qū)分。

“7.2.2.3 威脅調(diào)查方法”章節(jié)在“GB/T 20984-2022”基礎(chǔ)上，提出了更加符合金融信息系統(tǒng)業(yè)務(wù)特點(diǎn)和服務(wù)特點(diǎn)的威脅調(diào)查思路。

“7.2.2.4 威脅賦值”章節(jié)提出從四個(gè)方面評(píng)估威脅，明確在資產(chǎn)面臨多項(xiàng)威脅時(shí)，取最大威脅值作為資產(chǎn)的威脅值的威脅賦值計(jì)算方法。

“7.2.3.2 脆弱性識(shí)別內(nèi)容”章節(jié)中，在脆弱性識(shí)別內(nèi)容上進(jìn)行了重新設(shè)計(jì)。標(biāo)準(zhǔn)同樣將脆弱性識(shí)別對(duì)象分為技術(shù)脆弱性和管理脆弱性兩類。

在技術(shù)脆弱性方面將原有的系統(tǒng)軟件、應(yīng)用中間件，合并為基礎(chǔ)軟件設(shè)施，增加了終端、總體防護(hù)體系兩個(gè)技術(shù)脆弱性識(shí)別對(duì)象。

在管理脆弱性方面參考等級(jí)保護(hù)要求進(jìn)行了重新設(shè)計(jì)，分為安全管理制度、安全管理機(jī)構(gòu)及人員、安全建設(shè)及運(yùn)行維護(hù)、安全工作機(jī)制、業(yè)務(wù)連續(xù)性。相對(duì)“GB/T20984-2022”，對(duì)脆弱性識(shí)別對(duì)象的設(shè)計(jì)更加合理，并與等級(jí)保護(hù)的要求更加契合，更具指導(dǎo)性。

該標(biāo)準(zhǔn)“7.2.3.3 脆弱性賦值”章節(jié)中，提出應(yīng)先評(píng)估資產(chǎn)脆弱性的嚴(yán)重程度再評(píng)估資產(chǎn)脆弱性被威脅所利用的要能性的方式進(jìn)行脆弱性定級(jí)，相對(duì)“GB/T 20984-2022”有所差異。

標(biāo)準(zhǔn)在 “資產(chǎn)脆弱性的嚴(yán)重程度方面”參考等級(jí)保護(hù)測(cè)評(píng)方法，通過(guò)“附錄A”針對(duì)11種脆弱性識(shí)別對(duì)象，分別給出了極具指導(dǎo)性的脆弱性細(xì)則評(píng)分表，及匯總計(jì)算公式。

而該標(biāo)準(zhǔn)提出的“資產(chǎn)脆弱性被威脅所利用的可能性”，相對(duì)“GB/T 20984-2022”評(píng)定脆弱性等級(jí)時(shí)關(guān)注的“脆弱性被利用的難易程度”脆弱性本身的評(píng)估。“資產(chǎn)脆弱性被威脅所利用的可能性”強(qiáng)調(diào)通過(guò)對(duì)已有安全措施對(duì)脆弱性的有效性、結(jié)合威脅識(shí)別工作成果的關(guān)聯(lián)分析，從而確定可能性等級(jí)。整體而言該標(biāo)準(zhǔn)關(guān)于風(fēng)險(xiǎn)評(píng)估在脆弱性識(shí)別環(huán)節(jié)的工作更易參照?qǐng)?zhí)行。

“7.3.2.3 風(fēng)險(xiǎn)分析”章節(jié)，采用定量方法分析風(fēng)險(xiǎn)值，給出了風(fēng)險(xiǎn)等級(jí)的分值區(qū)間。由于該標(biāo)準(zhǔn)在每個(gè)風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)針對(duì)每個(gè)風(fēng)險(xiǎn)要素均采用分值方式賦值。最終在風(fēng)險(xiǎn)分析環(huán)節(jié)，基于此定量方法，可以方便計(jì)算資產(chǎn)、區(qū)、域的風(fēng)險(xiǎn)值，實(shí)現(xiàn)資產(chǎn)、區(qū)、域的風(fēng)險(xiǎn)排序。

4.總結(jié)

該標(biāo)準(zhǔn)融合了成熟的風(fēng)險(xiǎn)評(píng)估與等保測(cè)評(píng)方法論，并在此基礎(chǔ)上，結(jié)合金融信息系統(tǒng)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需求,提出面向金融業(yè)務(wù)和金融信息系統(tǒng)共性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型、流程和風(fēng)險(xiǎn)分析方法。能夠?yàn)榻鹑谛畔⑾到y(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估提供指導(dǎo)，極具參照價(jià)值。