GB/Z 20985-2007信息技術(shù)安全技術(shù)信息安全事件管理指南

ICS35.040L80中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件GB/Z20985—2007信息技術(shù)安全技術(shù)信息安全事件管理指南Informationtechnology-SecuritytechniquesInformationsecurityincidentmanagementguide（ISO/IECTR18044:2004,MOD)2007-06-14發(fā)布中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會

GB/Z20985一2007三次前言引言花圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5背景5.1目標(biāo)5.2過程6信息安全事件管理方案的益處及需要應(yīng)對的關(guān)鍵問題6.1信息安全事件管理方案的益處6.2關(guān)鍵問題7規(guī)劃和準(zhǔn)備7.2信息安全事件管理策略7.3信息安全事件管理方案……7.4信息安全和風(fēng)險(xiǎn)管理策略·7.5ISIRT的建立·…13技術(shù)和其他支持7.67.7意識和培訓(xùn)·······.··．...·...8.1概述·············關(guān)鍵過程的概述·8.28.3發(fā)現(xiàn)和報(bào)告…………8.4事態(tài)/事件評估和決策8.5響應(yīng)·…………….9.1述…….9.2進(jìn)一步的法律取證分析9.3經(jīng)驗(yàn)教訓(xùn)…確定安全改進(jìn)·9.4209.5確定方案改進(jìn)….………·10改進(jìn)10.1概述…………10.2安全風(fēng)險(xiǎn)分析和管理改進(jìn)10.3改善安全狀況10.4改進(jìn)方案10.5其他改進(jìn)

GB/Z20985—2007附錄A(資料性附錄)信息安全事態(tài)和事件報(bào)告單示例228附錄B(資料性附錄）信息安全事件評估要點(diǎn)指南示例35附錄C(資料性附錄)本指導(dǎo)性技術(shù)文件與ISO/IECTR18044:2004的技術(shù)性差異及其原因…338參考文獻(xiàn)A9

GB/Z20985—2007本指導(dǎo)性技術(shù)文件修改采用ISO/IECTR18044:2004《信息技術(shù)安全技術(shù)信息安全事件管理指南》考慮到我國國家標(biāo)準(zhǔn)的編寫要求.以及與其他信息安全事件相關(guān)標(biāo)準(zhǔn)技術(shù)內(nèi)容的協(xié)調(diào)性.本指導(dǎo)性技術(shù)文件在采用國際標(biāo)準(zhǔn)時(shí).對部分內(nèi)容進(jìn)行了修改。其中.技術(shù)性差異用垂直單線標(biāo)識在它們所涉及的條款的頁邊空白處。在附錄C中給出了技術(shù)性差異及其原因的一覽表以供參考。本指導(dǎo)性技術(shù)文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本指導(dǎo)性技術(shù)文件起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究所、北京同方信息安全股份有限公司、北京知識安全工程中心、北京郵電大學(xué)。本指導(dǎo)性技術(shù)文件主要起草人：上官曉麗、閔京華、趙戰(zhàn)生、王連強(qiáng)、徐國愛

GB/Z20985—2007目前.沒有任何一種具有代表性的信息安全策略或防護(hù)措施，能夠?qū)π畔ⅰ⑿畔⑾到y(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對的保護(hù)。即使采取了防護(hù)措施.仍可能存在殘留的弱點(diǎn)·使得信息安全防護(hù)變得無效，從而導(dǎo)致信息安全事件發(fā)生·并對組織的業(yè)務(wù)運(yùn)行直接或間接產(chǎn)生負(fù)面影響。此外，以前未被認(rèn)識到的威脅也可能會發(fā)生。組織如果對這些事件沒有作好充分的應(yīng)對準(zhǔn)備·其任何實(shí)際響應(yīng)措施的效率都會大打折扣甚至還可能加大潛在的業(yè)務(wù)負(fù)面影響的程度。因此.對于任何一個(gè)重視信息安全的組織來說，采用一種結(jié)構(gòu)嚴(yán)遂、計(jì)劃周全的方法來處理以下工作十分必要：發(fā)現(xiàn)、報(bào)告和評估信息安全事件；對信息安全事件做出響應(yīng).包括啟動適當(dāng)?shù)氖录雷o(hù)措施來預(yù)防和降低事件影響,以及從事件影響中恢復(fù)（例如，在支持和業(yè)務(wù)連續(xù)性規(guī)劃方面)從信息安全事件中吸取經(jīng)驗(yàn)教訓(xùn).制定預(yù)防措施·并且隨著時(shí)間的變化，不斷改進(jìn)整個(gè)的信息安全事件管理方法。

GB/Z20985—2007信息技術(shù)安全技術(shù)信息安全事件管理指南范圍本指導(dǎo)性技術(shù)文件描述了信息安全事件的管理過程。提供了規(guī)劃和制定信息安全事件管理策略和方案的指南。給出了管理信息安全事件和開展后續(xù)工作的相關(guān)過程和規(guī)程。本指導(dǎo)性技術(shù)文件可用于指導(dǎo)信息安全管理者,信息系統(tǒng)、服務(wù)和網(wǎng)絡(luò)管理者對信息安全事件的管理。：規(guī)范性引用文件下列文件中的條款通過本指導(dǎo)性技術(shù)文件的引用而成為本指導(dǎo)性技術(shù)文件的條款。凡是注日期的引用文件.其隨后所有的修改單(不包括誤的內(nèi)容)或修訂版均不適用于本指導(dǎo)性技術(shù)文件,然而，鼓勵(lì)根據(jù)本指導(dǎo)性技術(shù)文件達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本指導(dǎo)性技術(shù)文件。GB/T19716—2005信息技術(shù)信息安全管理實(shí)用規(guī)則(ISO/IEC17799:2000.MOD)GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級指南ISO/IEC13335-1:2004信息技術(shù)安全技術(shù)信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型3術(shù)語和定義GB/T19716-2005、ISO/IEC13335-1:2004中確立的以及下列術(shù)語和定義適用于本指導(dǎo)性技術(shù)文件。31業(yè)務(wù)連續(xù)性規(guī)劃businesscontinuityplanning這樣的一個(gè)過程.即當(dāng)有任何意外或有害事件發(fā)生，且對基本業(yè)務(wù)功能和支持要素的連續(xù)性造成負(fù)面影響時(shí)·確保運(yùn)行的恢復(fù)得到保障。該過程還應(yīng)確保恢復(fù)工作按指定優(yōu)先級、在規(guī)定的時(shí)間期限內(nèi)完成·且隨后將所有業(yè)務(wù)功能及支持要素恢復(fù)到正常狀態(tài)。這一過程的關(guān)鍵要素必須確保具有必要的計(jì)劃和設(shè)施,且經(jīng)過測試,它們包含信息、業(yè)務(wù)過程、信息系統(tǒng)和服務(wù)、語音和數(shù)據(jù)通信、人員和物理設(shè)施等。3.2信息安全事態(tài)informationsecurityevent被識別的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明一次可能的信息安全策略違規(guī)或某些防護(hù)措施失效，或者一種可能與安全相關(guān)但以前不為人知的一種情況3.3信息安全事件informationsecurityincident由單個(gè)或一系列意外或有害的信息安全