GB/T 20985.1-2017信息技術安全技術信息安全事件管理第1部分：事件管理原理

ICS35040

L80.

中華人民共和國國家標準

GB/T209851—2017/ISO/IEC27035-12016

.代替:

GB/Z20985—2007

信息技術安全技術信息安全事件管理

第1部分事件管理原理

:

Informationtechnology—Securitytechniques—Informationsecurityincident

manaement—Part1Princilesofincidentmanaement

g:pg

(ISO/IEC27035-1:2016,IDT)

2017-12-29發(fā)布2018-07-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T209851—2017/ISO/IEC27035-12016

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………2

基本概念和原理

4.1……………………2

事件管理目標

4.2………………………3

結(jié)構(gòu)化方法的益處

4.3…………………4

適應性

4.4………………5

階段

5………………………5

概述

5.1…………………5

規(guī)劃和準備

5.2…………………………8

發(fā)現(xiàn)和報告

5.3…………………………8

評估和決策

5.4…………………………8

響應

5.5…………………9

經(jīng)驗總結(jié)

5.6……………10

附錄資料性附錄與調(diào)查類標準的關系

A()……………11

附錄資料性附錄信息安全事件及其起因示例

B()……………………13

附錄資料性附錄與對照表

C()ISO/IEC27001ISO/IEC27035……15

參考文獻

……………………17

Ⅰ

GB/T209851—2017/ISO/IEC27035-12016

.:

前言

信息技術安全技術信息安全事件管理分為三個部分

GB/T20985《》:

第部分事件管理原理

———1:;

第部分事件響應規(guī)劃和準備指南

———2:;

第部分事件響應操作指南

———3:。

本部分為的第部分

GB/T209851。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分代替信息技術安全技術信息安全事件管理指南與

GB/Z20985—2007《》,GB/Z20985—

相比主要技術變化如下

2007:

由指導性技術文件改為推薦性國家標準并擬分為三個部分

———,;

刪除了業(yè)務連續(xù)性規(guī)劃的術語和定義見年版的

———“”(20073.1);

增加了信息安全調(diào)查信息安全事件管理事件處理事件響應和聯(lián)系點的術語和定義

———“”“”“”“”“”

見

(3.1、3.5~3.8);

將術語信息安全事件響應組改為事件響應小組并修改了其定義見

———“(ISIRT)”“(IRT)”,(3.2,

年版的

20073.4);

修改了術語信息安全事態(tài)和信息安全事件的定義見和年版的和

———“”“”(3.33.4,20073.23.3);

將規(guī)劃和準備使用評審和改進四個信息安全事件管理過程調(diào)整為規(guī)劃和準備發(fā)

———“”“”“”“”“”“

現(xiàn)和報告評估和決策響應和經(jīng)驗總結(jié)五個信息安全事件管理階段并相應調(diào)整了其中

”“”“”“”,

的主要活動見第章年版的和第章第章

(5,20075.27~10)。

本部分使用翻譯法等同采用信息技術安全技術信息安全事件管理

ISO/IEC27035-1:2016《

第部分事件管理原理

1:》。

與本部分中規(guī)范性引用的國際文件有一致性對應關系的我國文件如下

:

信息技術安全技術信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC

27000:2016,IDT)

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位中國電子技術標準化研究院中電長城網(wǎng)際系統(tǒng)應用有限公司中國信息安全研

:、、

究院有限公司

。

本部分主要起草人上官曉麗閔京華周亞超許玉娜蔡一鳴

:、、、、。

本部分所代替的歷次版本發(fā)布情況為

:

———GB/Z20985—2007。

Ⅲ

GB/T209851—2017/ISO/IEC27035-12016

.:

引言

關于ISO/IEC27035

僅靠信息安全策略或控制不能保證信息信息系統(tǒng)服務或網(wǎng)絡得到完全保護即使采取了控制

、、。,

仍可能存在殘留的脆弱性使信息安全效果降低使信息安全事件易于發(fā)生對組織的業(yè)務運行存在直

,,,

接和間接的潛在負面影響此外以前未識別的新威脅將不可避免發(fā)生若組織對處理這種事件未做

。,。

好充分準備將使任何響應的效果變差卻使對業(yè)務的潛在負面影響增加因此對于任何期望具有強

,,。,

健信息安全計劃的組織采用結(jié)構(gòu)化和有計劃的方法來開展如下活動十分必要

,:

發(fā)現(xiàn)報告和評估信息安全事件

———、;

響應信息安全事件包括啟動適當?shù)目刂苼矸乐购徒档陀绊懖闹谢謴?/p>

———,;

報告信息安全脆弱性以便對其進行評估和適當處理

———,;

從信息安全事件和脆弱性中汲取經(jīng)驗教訓建立預防性控制并改進整體信息安全事件管理

———,,

方法

。

為實現(xiàn)這種有計劃的方法的如下部分在信息安全事件管理方面提供相應指南

,ISO/IEC27035:

給出了信息安全事件管理的基本概念和階段以及如何改進事件管理這

———ISO/IEC27035-1,。

部分將這些概念與結(jié)構(gòu)化方法的原理相結(jié)合來發(fā)現(xiàn)報告評估和響應事件并進行經(jīng)驗總結(jié)

、、,。

描述如何規(guī)劃和準備事件響應部分涵蓋了中所給事件

———ISO/IEC27035-2。ISO/IEC27035-1

管理模型的規(guī)劃和準備和經(jīng)驗總結(jié)階段

“”“”。

與其他標準的關系

旨在對其他給出信息安全事件調(diào)查及調(diào)查準備指南的標準和文件進行補充

ISO/IEC27035。

并不是全部指南而是某些基本原理的參考旨在確保選擇適當?shù)墓ぞ呒夹g和方法并

ISO/IEC27035,,、

用于所需目的

。

涵蓋信息安全事件管理的同時也涵蓋了信息安全脆弱性的某些方面

ISO/IEC27035,。

和分別對脆弱性披露和供應商處理脆弱性提供了指南

ISO/IEC29147ISO/IEC30111。

對于需要確定呈現(xiàn)在其面前的數(shù)字證據(jù)可靠性的決策者還意在提供指導它適

,ISO/IEC27035。

用于那些需要保護分析和展示潛在數(shù)字證據(jù)的組織它與創(chuàng)建和評價數(shù)字證據(jù)相關規(guī)程的策略決策

、。

機構(gòu)相關這些機構(gòu)通常作為更大證據(jù)機構(gòu)的組成部分

,。

有關調(diào)查類標準的進一步信息參見附錄

,A。

Ⅳ

GB/T209851—2017/ISO/IEC27035-12016

.:

信息技術安全技術信息安全事件管理

第1部分事件管理原理

:

1范圍

的本部分提出了信息安全事件管理的基本概念和過程階段并將這些概念與結(jié)構(gòu)化

GB/T20985,

方法的原理相結(jié)合來發(fā)現(xiàn)報告評估和響應事件以及進行經(jīng)驗總結(jié)

、、,。

本部分給出的事件管理原理是通用的適用于任何類型規(guī)?；蛐再|(zhì)的組織組織可根據(jù)其業(yè)務的

,、。

類型規(guī)模和性質(zhì)關聯(lián)信息安全風險狀況調(diào)整本部分給出的指南本部分也適用于提供信息安全事

、,,。

件管理服務的外部組織

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系概述和詞匯

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)

信息技術安全技術第部分事件響應規(guī)劃和準備指南

ISO/IEC27035-22:(Informationtech-

nology—Securitytechniques—Informationsecurityincid