附錄C（資料性）GB/T22080與GB/T20985的對(duì)照 事件管理小組incidentmanagementteam事件響應(yīng)小組incidentresponse對(duì)大規(guī)模ICT和網(wǎng)絡(luò)安全事件的IRT的具體例子。事件協(xié)調(diào)員incident網(wǎng)絡(luò)安全事態(tài)cybersecurity網(wǎng)絡(luò)安全事件cybersecurity網(wǎng)絡(luò)安全事件管理cybersecurityincident網(wǎng)絡(luò)安全調(diào)查cybersecurity[來(lái)源：ISO/IEC27042:2015,3.10,有修改]事件處理incident事件響應(yīng)incident聯(lián)系點(diǎn)pointofcontactCSIRT：計(jì)算機(jī)安全事件響應(yīng)小組（computersecurityincidentresponseteam）DRP：災(zāi)難恢復(fù)計(jì)劃（disasterrecoveryplanning）ICT：信息和通信技術(shù)（informationandcommunicationstechnology）ISMS：信息安全管理體系（informationsecuritymanagementsystem）PoC：聯(lián)系點(diǎn)（pointofcontact）的發(fā)生并因此可能導(dǎo)致事件。圖1給出了網(wǎng)絡(luò)安全事件中對(duì)象的關(guān)系。護(hù)信息共享和溝通過(guò)程中的敏感信息，詳見(jiàn)ISO/IEC27010。本文件的另一個(gè)目標(biāo)是，為致力于滿足GB/T22080中規(guī)定的信息安全管理體系（ISMS）要求的組表C.1給出了GB/T22080中信息安全事件管理?xiàng)l款與本文件條款之間的對(duì)照表。圖2也展示了與ISMS的的信息與通信技術(shù)就緒指南見(jiàn)ISO/IEC27031。提高未來(lái)脆弱性評(píng)估的質(zhì)量。有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估與管理指南見(jiàn)GB/T31722。3組，以應(yīng)對(duì)特定事件。詳見(jiàn)GB/T20985.2第7.3節(jié)；本階段完成后，組織宜對(duì)網(wǎng)絡(luò)安全事件的妥當(dāng)管理做好了充分準(zhǔn)備。GB/T20985.2第4章至第11章證據(jù)之需。有關(guān)數(shù)字證據(jù)的識(shí)別、收集、獲取和保存的更多詳細(xì)信息見(jiàn)附錄A；附 ——ISO/IEC——ISO/IEC——ISO/IEC——ISO/IEC——ISO/IEC——ISO/IEC——ISO/IEC27042和ISO/IEC27041中有更為詳細(xì)的論述。附 GB/T20985ICT如附 GB/T22080GB/T2098520985表C.1GB/T22080:XXXX與GB/T20985GB/T5.246.2567891011126.86.3ISO/IEC27035-78125.256.4ISO/IEC27035-910C.1GB/T22080:XXXXGB/T20985（續(xù)GB/TGB/T209855.266.5ISO/IEC27035-115.276.6135.28發(fā)現(xiàn)和報(bào)告d）、評(píng)估和決策響應(yīng)f）、j）、附 附錄A（資料性附錄）法律法規(guī)要求相關(guān)考 附錄B（資料性附錄）網(wǎng)絡(luò)安全事態(tài)、事件和脆弱性報(bào)告及表單示 附錄C（資料性附錄）網(wǎng)絡(luò)安全事態(tài)和事件分類、評(píng)價(jià)和優(yōu)先級(jí)確定的方法示 參考文 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全事件管理第2本文件基于GB/T20985.1—XXXX的6.2和6.6中給出的“網(wǎng)絡(luò)安全事件管理階段”模型的“規(guī)劃和GB/T29246— 信息安全技術(shù)信息安全管理體系GB/T20985.1— 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全事件管理第1GB/T22081— GB/T22080— \h\hGB/T31722— 事件管理團(tuán)隊(duì)incidentmanagement網(wǎng)絡(luò)安全事態(tài)cybersecurity網(wǎng)絡(luò)安全事件cybersecurity網(wǎng)絡(luò)安全事件管理cybersecurityincident事件處理incident事件響應(yīng)incidentCERT：計(jì)算機(jī)應(yīng)急響應(yīng)小組（computeremergencyresponseteam）CPU：中央處理器（CentralProcessingUnit）CS事件響應(yīng)團(tuán)隊(duì)：計(jì)算機(jī)安全事件響應(yīng)小組（computersecurityincidentresponseteam）DNS：域名系統(tǒng)（DomainNameService）DoS：拒絕服務(wù)（DenailofICMP：因特網(wǎng)控制報(bào)文協(xié)議（InternetControlMessageProtocol）ICT：信息與通信技術(shù)（informationandcommunicationtechnology）IDS：入侵檢測(cè)系統(tǒng)（intrusiondetectionsystem）IMT：事件管理團(tuán)隊(duì)（incidentmanagementteam）IPS：入侵防御系統(tǒng)（intrusionpreventionsystem）IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolversion4）IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolversion6）IRT：事件響應(yīng)團(tuán)隊(duì)（incidentresponseteam）ISP：互聯(lián)網(wǎng)服務(wù)提供商（internetserviceprovider）IT：信息技術(shù)（informationtechnology）PoC：聯(lián)絡(luò)點(diǎn)（pointofSMTP：簡(jiǎn)單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SLA：服務(wù)水平協(xié)議（servicelevelagreements）SQL：結(jié)構(gòu)化查詢語(yǔ)言（StructuredQueryLanguage）SSL：安全套接層（SecureSocketLayer）TCP：傳輸控制協(xié)議（TransmissionControlProtocol）TLP：交通燈協(xié)議（TrafficLightProtocol）TLS：傳輸層安全（TransportLayerSecurity）UDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）注：5GB/T20985.1—XXXX6.2a)組織宜實(shí)施網(wǎng)絡(luò)安全事件管理策略來(lái)概述過(guò)程、責(zé)任人、權(quán)威機(jī)構(gòu)以及當(dāng)網(wǎng)絡(luò)安全事態(tài)/事件發(fā)生（見(jiàn)第1）。理體系策略的一部分（參見(jiàn)GB/T22080—XXXX的5.2），或作為其網(wǎng)絡(luò)安全策略的一部分（參見(jiàn)GB/T要告知受影響的各方。根據(jù)分級(jí)策略和GB/T22081—20245.14，除了法律要求,信息也宜遵循注：6GB/T20985.1—XXXX6.2b新，作為“經(jīng)驗(yàn)總結(jié)”階段的后果。同時(shí)參見(jiàn)GB/T22081—XXXX，5.1。1：7GB/T20985.1—XXXX5.2c注注：C 注：C用于GB/T220815.10所述控制措施注：8GB/T20985.1—XXXX5.5.3注：1事件管理團(tuán)隊(duì)員工角色與任務(wù)示例角描2職任——————————————————————————事件響應(yīng)團(tuán)隊(duì)可以各種方式來(lái)構(gòu)造,包括按部門、按對(duì)象集焦點(diǎn)、按組織架構(gòu)或按其他屬性。一種（如圖1所示建立事件響應(yīng)團(tuán)隊(duì)時(shí)，宜考慮組織的規(guī)模、信息的重要性以及與其他組織的互操作性。圖1中的T是指 1d）通用網(wǎng)絡(luò)協(xié)議，例如：注：9GB/T20985.1—XXXX5.2e——(SL)受到影響沒(méi)有，針對(duì)隱私權(quán)和公民自由權(quán)提供指導(dǎo)，以確保調(diào)查和響應(yīng)措施不侵犯員工的權(quán)注：1CERTISOIEC1：10GB/T20985.1—XXXX5.2fISO22301和ISO22313）；ISO/IEC27039入侵檢測(cè)系統(tǒng)（參見(jiàn)ISO/IEC注：11GB/T20985.1—XXXX5.2g受訓(xùn)人員的支持（在GB/T22081—XXXX的6.3中也提到這一點(diǎn)）。注：12GB/T20985.1—XXXX5.2h3動(dòng)注：13GB/T20985.1—XXXX5.6），網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和管理評(píng)審更新完成的后續(xù)行動(dòng)，可能有必要引入變更的或新的控制措施（見(jiàn)12.3以及GB/T312—XXX。附錄控/監(jiān)視問(wèn)題在ISO/IEC27039中做了具體討論。附錄B.2.31113相關(guān)事態(tài)和（或）56.4 1613相關(guān)事態(tài)和（或）24（PoC）67.47.5 268懷疑的 設(shè)備毀壞設(shè)備盜竊設(shè)備丟失介質(zhì)毀壞介質(zhì)盜竊介質(zhì)丟失 368 8.15其他469.710010.41156112.412.512.613（如果事件由人引起） 意 無(wú)作惡者1415 1617186619 20其他21其他22注11144.15 E-5.8 5.9括附錄RFC5070事件對(duì)象描述交換格式RFC6545實(shí)時(shí)內(nèi)部網(wǎng)絡(luò)防御RFC6546法將威脅視為分類因素，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分類（關(guān)于威脅，參見(jiàn)GB/T31722—XXXX，A.2.5.1）。C.1