标准搜索结果: 'GB/T 20985.2-2020'
标准编号 | GB/T 20985.2-2020 (GB/T20985.2-2020) | 中文名称 | 信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南 | 英文名称 | Information technology -- Security techniques -- Information security incident management -- Part 2: Guidelines to plan and prepare for incident response | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 50,541 | 发布日期 | 2020-12-14 | 实施日期 | 2021-07-01 | 采用标准 | ISO/IEC 27035-2-2016, MOD | 起草单位 | 中电长城网际系统应用有限公司 | 归口单位 | 全国信息安全标准化技术委员会 | 标准依据 | 国家标准公告2020年第28号 | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 20985.2-2020
(Information Technology "Security Technology" Information Security Incident Management" Part 2: Incident Response Planning and Preparation Guide)
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术 信息安全事件管理
第2部分:事件响应规划和准备指南
(ISO/IEC 27035-2:2016,MOD)
2020-12-14发布
2021-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 2
4 信息安全事件管理策略 2
4.1 概述 2
4.2 相关方 3
4.3 信息安全事件管理策略内容 3
5 信息安全策略更新 4
5.1 概述 4
5.2 策略文档的关联 5
6 制定信息安全事件管理计划 5
6.1 概述 5
6.2 基于共识建立信息安全事件管理计划 5
6.3 参与方 6
6.4 信息安全事件管理计划内容 6
6.5 事件分级标度 9
6.6 事件表单 9
6.7 过程和规程 9
6.8 信任和信心 10
6.9 保密或敏感信息处理 10
7 建立事件响应小组 10
7.1 概述 10
7.2 事件响应小组类型和角色 11
7.3 事件响应小组人员 12
8 建立与其他组织的关系 14
8.1 概述 14
8.2 与组织其他部门的关系 14
8.3 与外部利益相关方的关系 15
9 明确技术和其他支持 16
9.1 概述 16
9.2 技术支持示例 17
9.3 其他支持示例 17
10 建立信息安全事件意识和培训 17
11 测试信息安全事件管理计划 18
11.1 概述 18
11.2 演练 18
11.3 事件响应能力监测 19
12 经验总结 20
12.1 概述 20
12.2 识别经验教训 20
12.3 识别并实施信息安全控制措施的改进 21
12.4 识别并实施信息安全风险评估和管理评审结果的改进 21
12.5 识别并实施信息安全事件管理计划的改进 21
12.6 事件响应小组评价 22
12.7 其他改进 22
附录A(资料性附录) 法律法规方面 23
附录B(资料性附录) 信息安全事态、事件和脆弱性报告及表单示例 25
附录C(资料性附录) 信息安全事态和事件分类分级方法示例 36
参考文献 45
前言
GB/T 20985《信息技术 安全技术 信息安全事件管理》分为以下部分:
---第1部分:事件管理原理;
---第2部分:事件响应规划和准备指南。
本部分为GB/T 20985的第2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分使用重新起草法修改采用ISO/IEC 27035-2:2016《信息技术 安全技术 信息安全事件管
理 第2部分:事件响应规划和准备指南》。
本部分与ISO/IEC 27035-2:2016的技术性差异及其原因如下:
---关于规范性引用文件,本部分做了具有技术性差异的调整,以适应我国的技术条件,调整的情
况集中反映在第2章“规范性引用文件”中,具体调整如下:
● 用等同采用国际标准的GB/T 29246-2017代替了ISO/IEC 27000。
---范围一章增加了“经验总结”阶段的用途和要点(见第1章)。
本部分还做了下列编辑性修改:
---补充了缩略语“ICT”和“UTC”(见3.2);
---增加了资料性引用文件GB/Z 20986-2007(见6.4的注和6.5的注);
---将B.3.2中的脚注改为注(见B.3.2);
---补充了参考文献ISO 22301和ISO 22313(见参考文献)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分起草单位:中电长城网际系统应用有限公司、中电数据服务有限公司、中国电子技术标准化
研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息
中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。
本部分主要起草人:闵京华、周亚超、王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、
刘蓓、李怡、魏玉峰、陈冠直。
引 言
GB/T 20985属于信息安全管理体系(ISMS)系列标准的延伸,聚焦于信息安全事件管理,
GB/T 22080-2016将其确定为信息安全管理体系的关键成功因素之一。
组织的事件计划与该组织确信已做好事件准备之间可能存在很大差距。因此,GB/T 20985的本
部分提供指南,以增强组织对信息安全事件响应做好实际准备的信心。为此,本部分关注于事件管理相
关的策略和计划,以及如何建立事件响应小组并通过经验总结和评价不断改进其成效。
信息技术 安全技术 信息安全事件管理
第2部分:事件响应规划和准备指南
1 范围
GB/T 20985的本部分基于GB/T 20985.1-2017中给出的“信息安全事件管理阶段”模型的“规划
和准备”阶段和“经验总结”阶段,给出了规划和准备事件响应以及事后总结经验和改进的指南。
“规划和准备”阶段的要点包括:
---信息安全事件管理策略和最高管理者的承诺;
---在公司层面以及系统、服务和网络层面都要更新的信息安全策略,其中包括与风险管理相关的
信息安全策略;
---信息安全事件管理计划;
---事件响应小组(IRT)的建立;
---建立与内部和外部组织的关系和联络;
---技术及其他方面(包括组织和运行方面)的支持;
---信息安全事件管理的意识教育和培训;
---信息安全事件管理计划的测试。
“经验总结”阶段的要点包括:
---经验教训的总结;
---信息安全的总结和改进;
---信息安全风险评估和管理评审结果的总结和改进;
---信息安全事件管理计划的总结和改进;
---IRT表现和有效性的评价。
本部分给出的原理是通用的,适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规
模和性质,关联信息安全风险状况,调整本部分给出的指南。本部分也适用于提供信息安全事件管理服
务的外部组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20985.1-2017 信息技术 安全技术 信息安......
|