信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原理-編制說明

PAGE1PAGE任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會下達(dá)的2013年國家標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)GB/Z20985—2007《信息技術(shù)安全技術(shù)信息安全事件管理》修訂由中國電子技術(shù)標(biāo)準(zhǔn)化研究院主辦，中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、中國信息安全研究院有限公司等單位參與，標(biāo)準(zhǔn)計(jì)劃號為20130333-T-469。任務(wù)背景2007年發(fā)布的國家標(biāo)準(zhǔn)GB/Z20985—2007《信息技術(shù)安全技術(shù)信息安全事件管理》修改采用國際信息安全標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27于2004年10月15日發(fā)布的國際標(biāo)準(zhǔn)ISO/IECTR18044:2004《信息技術(shù)安全技術(shù)信息安全事件管理（Informationtechnology—Securitytechniques—Informationsecurityincidentmanagement）》。2008年4月16日，ISO/IECJTC1SC27提出修訂ISO/IECTR18044:2004，以確保與ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》完全兼容，并將標(biāo)準(zhǔn)類型由TR改為IS，同時(shí)納入ISO/IEC27000系列標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編號為ISO/IEC27035，項(xiàng)目編號為1.27.71，我國專家為聯(lián)合編輯。2011年9月1日，ISO/IEC27035:2011《信息技術(shù)安全技術(shù)信息安全事件管理》（第一版）正式發(fā)布。2012年2年8日，ISO/IECJTC1SC27提出提早修訂ISO/IEC27035:2011，并將標(biāo)準(zhǔn)分為三部分，包括ISO/IEC27035-1《第1部分：事件管理原理》（我國專家為編輯）、ISO/IEC27035-2《第2部分：事件管理準(zhǔn)備指南》（后更名為《第2部分：事件響應(yīng)規(guī)劃和準(zhǔn)備指南》）和ISO/IEC27035-3《第3部分：CSIRT操作指南》（后更名為《第3部分：事件響應(yīng)操作指南》）。2016年11月1日，ISO/IEC27035-1和ISO/IEC27035-2正式發(fā)布，而ISO/IEC27035-3因內(nèi)容不足回退到同名研究期項(xiàng)目“事件響應(yīng)操作指南”繼續(xù)開發(fā)?？紤]到國際標(biāo)準(zhǔn)的發(fā)展形勢，決定將GB/Z20985—2007標(biāo)準(zhǔn)修訂由原定的等同采納ISO/IEC27035:2011改為等同采納最新發(fā)布的ISO/IEC27035-1:2016，并將標(biāo)準(zhǔn)編號由GB/Z20985改為GB/T20985-1。編制原則等同采用：基于目前國內(nèi)對國際信息安全管理體系（ISMS）標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標(biāo)準(zhǔn)ISO/IEC27035-1:2016《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》。準(zhǔn)確理解：在充分理解國際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表達(dá)原意。語言通暢：在等同翻譯時(shí)，盡量符合中文的語言習(xí)慣，做到表述通暢。主要工作過程1、2013-2014年，課題組持續(xù)跟蹤研究國際標(biāo)準(zhǔn)ISO/IEC27035-1進(jìn)展，閔京華博士作為該國際標(biāo)準(zhǔn)編輯，全程積極主導(dǎo)了該國際標(biāo)準(zhǔn)制定工作，同時(shí)組織國內(nèi)相關(guān)專家對標(biāo)準(zhǔn)制定思路和發(fā)展趨勢進(jìn)行研究分析。2、2015年，ISO/IEC27035-3在各成員國征集貢獻(xiàn)，課題組組織國家互聯(lián)網(wǎng)應(yīng)急中心等單位，啟動研究信息安全事件響應(yīng)等國際標(biāo)準(zhǔn)提案，數(shù)次討論研究，初步確定信息安全事件響應(yīng)國際提案研究思路。3、2016年4月26日，我國專家擔(dān)任編輯的ISO/IEC27035-1《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》國際標(biāo)準(zhǔn)最終草案（FDIS）全票通過，順利進(jìn)入正式發(fā)布階段。因此，為適應(yīng)國際標(biāo)準(zhǔn)的發(fā)展，決定將所轉(zhuǎn)國際標(biāo)準(zhǔn)由ISO/IEC27035:2011改為ISO/IEC27035-1。4、2016年5月至10月，研究和翻譯ISO/IECFDIS27035-1《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》，并形成GB/T20985-1《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》草案（第一稿）。5、2016年11月1日，ISO/IEC27035-1《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》國際標(biāo)準(zhǔn)正式發(fā)布。6、2016年12月，形成等同采用ISO/IEC27035-1:2016的GB/T20985-1《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》征求意見稿。7、2016年12月22日，信安標(biāo)委WG7組織了專家審查會。12月25日，根據(jù)會上專家意見對征求意見稿第1稿進(jìn)行修改完善，形成征求意見（中英文對照）第2稿，同時(shí)更新編制說明和意見匯總表。主要內(nèi)容GB/T20985-1《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》提出了信息安全事件管理的基本概念和階段，并將這些概念與一種結(jié)構(gòu)化方法中的原理相結(jié)合來發(fā)現(xiàn)、報(bào)告、評估和響應(yīng)事件，以及進(jìn)行經(jīng)驗(yàn)總結(jié)。GB/T20985-1內(nèi)容目次如下：前言引言1范圍2規(guī)范性引用文件3術(shù)語和定義4概述4.1基本概念和原理4.2事件管理目標(biāo)4.3結(jié)構(gòu)化方法的益處4.4適應(yīng)性5階段5.1概述5.2規(guī)劃和準(zhǔn)備5.3發(fā)現(xiàn)和報(bào)告5.4評估和決策5.5響應(yīng)5.6經(jīng)驗(yàn)總結(jié)附錄A（資料性附錄）與調(diào)查性標(biāo)準(zhǔn)的關(guān)系附錄B（資料性附錄）信息安全事件及其起因示例附錄C（資料性附錄）GB/T22080與GB/T20985對照表參考文獻(xiàn)主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果該標(biāo)準(zhǔn)所給出的信息安全事件管理原理是通用的，適用于任何類型、規(guī)?；蛐再|(zhì)的組織。組織可根據(jù)其業(yè)務(wù)的類型、規(guī)模和性質(zhì)，關(guān)聯(lián)信息安全風(fēng)險(xiǎn)狀況，調(diào)整該標(biāo)準(zhǔn)給出的指南。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況該標(biāo)準(zhǔn)等同采用最新發(fā)布的國際標(biāo)準(zhǔn)ISO/IEC27035-1:2016《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理》，力爭做到與所采用的國際標(biāo)準(zhǔn)同步發(fā)布。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系該標(biāo)準(zhǔn)符合我國現(xiàn)行的法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)。重大分歧意見的處理經(jīng)過和依據(jù)尚無。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議該標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）該標(biāo)準(zhǔn)是信息安全事件管理的基礎(chǔ)標(biāo)準(zhǔn)，對于信息安全事件管理的溝通、研究、開發(fā)和實(shí)施具有普遍的指導(dǎo)意義。因此，建議在信息安全事件管理相關(guān)的所有人員中進(jìn)行宣貫和培訓(xùn)。