注册

金融信息系统网络安全风险评估规范

Specification of financial information system cybersecurity risk assessment
国家标准项目 制定 推荐性

国家标准计划《金融信息系统网络安全风险评估规范》由 TC180(全国金融标准化技术委员会)归口 ,主管部门为中国人民银行

主要起草单位 中国金融电子化公司北京银联金卡科技有限公司中国金融认证中心

目录

基础信息

计划号
20193363-T-320
制修订
制定
项目周期
24个月
下达日期
2019-10-24
申报日期
2018-04-24
公示开始日期
2019-04-01
公示截止日期
2019-04-18
标准类别
安全
国际标准分类号
03.060
03 社会学、服务、公司(企业)的组织和管理、行政、运输
03.060 金融、银行、货币体系、保险
归口单位
全国金融标准化技术委员会
执行单位
全国金融标准化技术委员会
主管部门
中国人民银行

起草单位

中国金融电子化公司
中国金融认证中心
北京银联金卡科技有限公司

目的意义

  信息技术已经成为银行、证券、保险等金融行业的基础支撑技术,信息设施已经成为金融行业关键基础设施。

同时伴随日益复杂和严峻的安全形势,金融业普遍面临基础设施集中、业务覆盖面广、业务系统关系庞杂等特点,其信息安全风险相对集中,安全威胁引起的连锁反应可预测度又相对较低,为金融业信息安全风险防控与金融监管带来了较大的挑战,因此保障金融信息安全也成为防控金融风险的关键组成部分。

随着分布式、轻量级、云化、移动互联网化,甚至是去中心化的新型金融信息化技术在金融业的运用不断拓展,研究新形势下的金融信息安全风险评估的问题与挑战,立足于金融行业业务特性与信息安全诉求,结合国际与国家相关方法论,亟待制定一套适用于我国国情的金融信息安全风险评估方法和指南,用于指导具有金融业务属性的机构对其管理、开发、运维的各类信息系统开展信息安全风险评估活动。

  一、促进国家网络安全风险评估金融标准化发展战略实施   依据《中华人民共和国网络安全法》第五十四条 ,网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:   (一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;   (二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;   (三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。

  其中第(二)条,明确要求组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度。

  同时《全国人民代表大会常务委员会执法检查组关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》明确建议了要尽快完善网络安全风险评估机制,加强对金融、能源、交通等重要行业和领域的评估,根据评估情况,适时调整网络安全工作方案和保护措施。

  二、促进金融行业网络安全风险评估要求的落实   《金融业标准化体系建设发展规划(2016-2020)》中明确提出“制定银行、证券、保险、金融科技等领域的风险监测、风险计量、信用评价、风险提示与公示、信息保护等标准,提供风险防范精确性”,文献表明,在信息安全领域,所有实践活动的最直接目的也是控制信息安全风险。

  三、填补我国金融信息系统网络安全风险评估标准的空白   信息安全风险评估几乎成为当前安全实践中最常规的手段之一。

那么,如何站在组织主营业务的角度评估信息安全风险?如何在组织整体风险管理框架下部署信息安全?这些问题或理念在相关标准中都已经提出,例如,GB/T22080-2016 / ISO/IEC27001:2013 的 6.1,但是现有的标准并没有给出在金融信息系统具体的实现途径。

因为金融系统本身强调全面风险管理,但是具体到信息安全管理中,又存在诸多框架性的不兼容。

本标准提出的意义,正在于试图解决该问题,如上所述,在网络安全管理实践中,强调机构整体的风险管理框架,源于此,这也为解决站在组织主营业务的角度评估信息安全风险提供了便利。

以金融信息系统作为解决这个问题的起点,在全面风险管理的整体框架下,设计既有“良好实践(安全控制,WHAT)”,又有“方法论(风险管理,HOW)”的技术指导性文件,具有更强的现实意义,也具备更高的现实可能。

基于此,本标准的主要目的在于,设计金融信息系统的“良好实践”,以此指导金融信息系统的信息安全部署,提高国内金融信息系统的整体管控能力。

范围和主要技术内容

  在国际、国家信息安全风险管理与风险评估理论体系与技术标准基础上,立足于金融科技的高速发展、金融行业业务特性与信息安全诉求,围绕金融信息系统特性、指标体系、威胁划分,计算模型等多个方面重点研究适用于新形势下金融信息技术的风险评估理论与方法,制定金融信息系统网络安全风险评估规范标准,用于指导具有金融业务属性的机构对其管理、开发、运维的各类信息系统开展信息安全风险评估活动。本标准依据国家《信息安全技术 信息安全风险评估实施指南》和《信息安全风险评估规范》标准,结合金融信息系统特点以及信息系统安全建设需要,提出了金融信息系统网络安全风险评估的评估方法、评估内容、实施流程,适用于部署提供金融服务信息系统的金融机构和非金融机构开展信息安全风险评估工作,以金融信息系统为核心,在金融的细分领域上形成全面风险视角的风险管理框架,面向业务操作视角的风险管理流程,基于业务共性的网络安全风险管理标准,为具有金融业务属性机构提供行之有效的风险评估活动提供指导。主要包括:   1)风险评估工作准备   2)资产识别、威胁识别和脆弱性识别   3)风险分析   4)风险处置   5)风险评价   6)风险报告编制

国家级科研专项支撑

国家质量基础的共性技术研究与应用项目(NQI)课题4.6金融风险防控关键技术标准研究(SQ2018YFF020148)

  • 版权所有 侵权必究
  • 主管:国家市场监督管理总局 国家标准化管理委员会
  • 主办:国家市场监督管理总局国家标准技术审评中心
  • 技术支持:北京中标赛宇科技有限公司
  • 支持电话:010-82261036
  • 备案号:京ICP备09001239号-6