标准搜索结果: 'GB/T 20985.1-2017'
标准编号 | GB/T 20985.1-2017 (GB/T20985.1-2017) | 中文名称 | 信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理 | 英文名称 | Information technology -- Security techniques -- Information security incident management -- Part 1: Principles of incident management | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 22,263 | 发布日期 | 2017-12-29 | 实施日期 | 2018-07-01 | 起草单位 | 中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全研究院有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 20985.1-2017
Information technology--Security techniques--Information security incident management--Part 1: Principles of incident management
ICS 35.040
L80
中华人民共和国国家标准
代替GB/Z 20985-2007
信息技术 安全技术 信息安全事件管理
第1部分:事件管理原理
(ISO/IEC 27035-1:2016,IDT)
2017-12-29发布
2018-07-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 2
4.1 基本概念和原理 2
4.2 事件管理目标 3
4.3 结构化方法的益处 4
4.4 适应性 5
5 阶段 5
5.1 概述 5
5.2 规划和准备 8
5.3 发现和报告 8
5.4 评估和决策 8
5.5 响应 9
5.6 经验总结 10
附录A(资料性附录) 与调查类标准的关系 11
附录B(资料性附录) 信息安全事件及其起因示例 13
附录C(资料性附录) ISO/IEC 27001与ISO/IEC 27035对照表 15
参考文献 17
前言
GB/T 20985《信息技术 安全技术 信息安全事件管理》分为三个部分:
---第1部分:事件管理原理;
---第2部分:事件响应规划和准备指南;
---第3部分:事件响应操作指南。
本部分为GB/T 20985的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/Z 20985-2007《信息技术 安全技术 信息安全事件管理指南》,与GB/Z 20985-
2007相比主要技术变化如下:
---由指导性技术文件改为推荐性国家标准,并拟分为三个部分;
---删除了“业务连续性规划”的术语和定义(见2007年版的3.1);
---增加了“信息安全调查”“信息安全事件管理”“事件处理”“事件响应”和“联系点”的术语和定义
(见3.1、3.5~3.8);
---将术语“信息安全事件响应组(ISIRT)”改为“事件响应小组(IRT)”,并修改了其定义(见3.2,
2007年版的3.4);
---修改了术语“信息安全事态”和“信息安全事件”的定义(见3.3和3.4,2007年版的3.2和3.3);
---将“规划和准备”“使用”“评审”和“改进”四个信息安全事件管理过程调整为“规划和准备”“发
现和报告”“评估和决策”“响应”和“经验总结”五个信息安全事件管理阶段,并相应调整了其中
的主要活动(见第5章,2007年版的5.2和第7章~第10章)。
本部分使用翻译法等同采用ISO/IEC 27035-1:2016《信息技术 安全技术 信息安全事件管理
第1部分:事件管理原理》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC
27000:2016,IDT)
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分起草单位:中国电子技术标准化研究院、中电长城网际系统应用有限公司、中国信息安全研
究院有限公司。
本部分主要起草人:上官晓丽、闵京华、周亚超、许玉娜、蔡一鸣。
本部分所代替的历次版本发布情况为:
---GB/Z 20985-2007。
引 言
关于ISO/IEC 27035
仅靠信息安全策略或控制不能保证信息、信息系统、服务或网络得到完全保护。即使采取了控制,
仍可能存在残留的脆弱性,使信息安全效果降低,使信息安全事件易于发生,对组织的业务运行存在直
接和间接的潜在负面影响。此外,以前未识别的新威胁将不可避免发生。若组织对处理这种事件未做
好充分准备,将使任何响应的效果变差,却使对业务的潜在负面影响增加。因此,对于任何期望具有强
健信息安全计划的组织,采用结构化和有计划的方法来开展如下活动十分必要:
---发现、报告和评估信息安全事件;
---响应信息安全事件,包括启动适当的控制来防止和降低影响并从中恢复;
---报告信息安全脆弱性,以便对其进行评估和适当处理;
---从信息安全事件和脆弱性中汲取经验教训,建立预防性控制,并改进整体信息安全事件管理
方法。
为实现这种有计划的方法,ISO/IEC 27035的如下部分在信息安全事件管理方面提供相应指南:
---ISO/IEC 27035-1给出了信息安全事件管理的基本概念和阶段,以及如何改进事件管理。这
部分将这些概念与结构化方法的原理相结合来发现、报告、评估和响应事件,并进行经验总结。
---ISO/IEC 27035-2描述如何规划和准备事件响应。部分涵盖了ISO/IEC 27035-1中所给事件
管理模型的“规划和准备”和“经验总结”阶段。
与其他标准的关系
ISO/IEC 27035旨在对其他给出信息安全事件调查及调查准备指南的标准和文件进行补充。
ISO/IEC 27035并不是全部指南,而是某些基本原理的参考,旨在确保选择适当的工具、技术和方法并
用于所需目的。
ISO/IEC 27035涵盖信息安全事件管理的同时,也涵盖了信息安全脆弱性的某些方面。
ISO/IEC 29147和ISO/IEC 30111分别对脆弱性披露和供应商处理脆弱性提供了指南。
对于需要确定呈现在其面前的数字证据可靠性的决策者,ISO/IEC 27035还意在提供指导。它适
用于那些需要保护、分析和展示潜在数字证据的组织。它与创建和评价数字证据相关规程的策略决策
机构相关,这些机构通常作为更大证据机构的组成部分。
有关调查类标准的进一步信息,参见附录A。
信息技术 安全技术 信息安全事件管理
第1部分:事件管理原理
1 范围
GB/T 20985的本部分提出了信息安全事件管理的基本概念和过程阶段,并将这些概念与结构化
方法的原理相结合来发现、报告、评估和响应事件,以及进行经验总结。
本部分给出的事件管理原理是通用的,适用于任何类型、规模或性质的组织。组织可根据其业务的
类型、规模和性质,关联信息安全风险状况,调整本部分给出的指南。本部分也适用于提供信息安全事
件管理服务的外部组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 27035-2 信息技术 安全技术 第2部分:事件响应规划和准备指南(Informationtech-
3 术语和定义
ISO/IEC 27000界定的以及下列术语和定义适用于本文件。
3.1
为帮助理解信息安全事件(3.4)而进行的检查、分析和解释。
[ISO/IEC 27042,定义3.10,做了修改:将“事件”替换为“信息安全事件”]
3.2
......
|