ICS35040

L80.

中華人民共和國國家標準

GB/T209851—2017/ISO/IEC27035-12016

.代替:

GB/Z20985—2007

信息技術安全技術信息安全事件管理

第1部分事件管理原理

:

Informationtechnology—Securitytechniques—Informationsecurityincident

manaement—Part1Princilesofincidentmanaement

g:pg

(ISO/IEC27035-1:2016,IDT)

2017-12-29發布2018-07-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T209851—2017/ISO/IEC27035-12016

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………2

基本概念和原理

4.1……………………2

事件管理目標

4.2………………………3

結構化方法的益處

4.3…………………4

適應性

4.4………………5

階段

5………………………5

概述

5.1…………………5

規劃和準備

5.2…………………………8

發現和報告

5.3…………………………8

評估和決策

5.4…………………………8

響應

5.5…………………9

經驗總結

5.6……………10

附錄資料性附錄與調查類標準的關系

A()……………11

附錄資料性附錄信息安全事件及其起因示例

B()……………………13

附錄資料性附錄與對照表

C()ISO/IEC27001ISO/IEC27035……15

參考文獻

……………………17

Ⅰ

GB/T209851—2017/ISO/IEC27035-12016

.:

前言

信息技術安全技術信息安全事件管理分為三個部分

GB/T20985《》:

第部分事件管理原理

———1:;

第部分事件響應規劃和準備指南

———2:;

第部分事件響應操作指南

———3:。

本部分為的第部分

GB/T209851。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分代替信息技術安全技術信息安全事件管理指南與

GB/Z20985—2007《》,GB/Z20985—

相比主要技術變化如下

2007:

由指導性技術文件改為推薦性國家標準并擬分為三個部分

———,;

刪除了業務連續性規劃的術語和定義見年版的

———“”(20073.1);

增加了信息安全調查信息安全事件管理事件處理事件響應和聯系點的術語和定義

———“”“”“”“”“”

見

(3.1、3.5~3.8);

將術語信息安全事件響應組改為事件響應小組并修改了其定義見

———“(ISIRT)”“(IRT)”,(3.2,

年版的

20073.4);

修改了術語信息安全事態和信息安全事件的定義見和年版的和

———“”“”(3.33.4,20073.23.3);

將規劃和準備使用評審和改進四個信息安全事件管理過程調整為規劃和準備發

———“”“”“”“”“”“

現和報告評估和決策響應和經驗總結五個信息安全事件管理階段并相應調整了其中

”“”“”“”,

的主要活動見第章年版的和第章第章

(5,20075.27~10)。

本部分使用翻譯法等同采用信息技術安全技術信息安全事件管理

ISO/IEC27035-1:2016《

第部分事件管理原理

1:》。

與本部分中規范性引用的國際文件有一致性對應關系的我國文件如下

:

信息技術安全技術信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC

27000:2016,IDT)

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位中國電子技術標準化研究院中電長城網際系統應用有限公司中國信息安全研

:、、

究院有限公司

。

本部分主要起草人上官曉麗閔京華周亞超許玉娜蔡一鳴

:、、、、。

本部分所代替的歷次版本發布情況為

:

———GB/Z20985—2007。

Ⅲ

GB/T209851—2017/ISO/IEC27035-12016

.:

引言

關于ISO/IEC27035

僅靠信息安全策略或控制不能保證信息信息系統服務或網絡得到完全保護即使采取了控制

、、。,

仍可能存在殘留的脆弱性使信息安全效果降低使信息安全事件易于發生對組織的業務運行存在直

,,,

接和間接的潛在負面影響此外以前未識別的新威脅將不可避免發生若組織對處理這種事件未做

。,。

好充分準備將使任何響應的效果變差卻使對業務的潛在負面影響增加因此對于任何期望具有強

,,。,

健信息安全計劃的組織采用結構化和有計劃的方法來開展如下活動十分必要

,:

發現報告和評估信息安全事件

———、;

響應信息安全事件包括啟動適當的控制來防止和降低影響并從中恢復

———,;

報告信息安全脆弱性以便對其進行評估和適當處理

———,;

從信息安全事件和脆弱性中汲取經驗教訓建立預防性控制并改進整體信息安全事件管理

———,,

方法

。

為實現這種有計劃的方法的如下部分在信息安全事件管理方面提供相應指南

,ISO/IEC27035:

給出了信息安全事件管理的基本概念和階段以及如何改進事件管理這

———ISO/IEC27035-1,。

部分將這些概念與結構化方法的原理相結合來發現報告評估和響應事件并進行經驗總結

、、,。

描述如何規劃和準備事件響應部分涵蓋了中所給事件

———ISO/IEC27035-2。ISO/IEC27035-1

管理模型的規劃和準備和經驗總結階段

“”“”。

與其他標準的關系

旨在對其他給出信息安全事件調查及調查準備指南的標準和文件進行補充

ISO/IEC27035。

并不是全部指南而是某些基本原理的參考旨在確保選擇適當的工具技術和方法并

ISO/IEC27035,,、

用于所需目的

。

涵蓋信息安全事件管理的同時也涵蓋了信息安全脆弱性的某些方面

ISO/IEC27035,。

和分別對脆弱性披露和供應商處理脆弱性提供了指南

ISO/IEC29147ISO/IEC30111。

對于需要確定呈現在其面前的數字證據可靠性的決策者還意在提供指導它適

,ISO/IEC27035。

用于那些需要保護分析和展示潛在數字證據的組織它與創建和評價數字證據相關規程的策略決策

、。

機構相關這些機構通常作為更大證據機構的組成部分

,。

有關調查類標準的進一步信息參見附錄

,A。

Ⅳ

GB/T209851—2017/ISO/IEC27035-12016

.:

信息技術安全技術信息安全事件管理

第1部分事件管理原理

:

1范圍

的本部分提出了信息安全事件管理的基本概念和過程階段并將這些概念與結構化

GB/T20985,

方法的原理相結合來發現報告評估和響應事件以及進行經驗總結

、、,。

本部分給出的事件管理原理是通用的適用于任何類型規模或性質的組織組織可根據其業務的

,、。

類型規模和性質關聯信息安全風險狀況調整本部分給出的指南本部分也適用于提供信息安全事

、,,。

件管理服務的外部組織

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系概述和詞匯

ISO/IEC27000(Informationtechnolo-

gy—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)

信息技術安全技術第部分事件響應規劃和準備指南

ISO/IEC27035-22:(Informationtech-

nology—Securitytechniques—Informationsecurityincid