信息安全技術(shù) 信息安全事件分類分級指南編制說明

國家標(biāo)準(zhǔn)征求意見稿資料國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全事件分類分級指南》（征求意見稿）編制說明一、工作簡況1、任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2020年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃：《信息安全技術(shù)信息安全事件分類分級指南》，該標(biāo)準(zhǔn)由北京時代新威信息技術(shù)有限公司負(fù)責(zé)承辦。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。2、主要起草單位和工作組成員該標(biāo)準(zhǔn)由北京時代新威信息技術(shù)有限公司主要負(fù)責(zé)起草，指導(dǎo)單位為國家網(wǎng)絡(luò)與信息安全信息通報中心，協(xié)作單位為中國科學(xué)院軟件研究所、中國長江三峽集團(tuán)有限公司。2020年9月，按照信安標(biāo)委要求，該標(biāo)準(zhǔn)項目組進(jìn)行了參編單位的征集，共有11家單位參與到該標(biāo)準(zhǔn)的修訂工作中，分別是：杭州安恒信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京微智信業(yè)科技有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、北京神州綠盟科技有限公司、南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、鼎鉉商用密碼測評技術(shù)（深圳）有限公司、北京數(shù)美時代科技有限公司、OPPO廣東移動通信有限公司。標(biāo)準(zhǔn)主要起草人：王連強(qiáng)、王新杰、黃小蘇、楊玉忠、閻若彤、任娟娟、夏雨、任彬、余國平、何余、王元戎、連一峰、張海霞、黃克振、高琪、李旸照、黎奇、梁偉、楊劍、崔婷婷、劉書鵬、魏玉峰、楊三楊、王健、郭晶、劉碩、陳建、王小璞。3、主要工作過程標(biāo)準(zhǔn)制定的主要工作過程如下：成立編制組。2020年8月，接到全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于標(biāo)準(zhǔn)制定任務(wù)之后，課題組負(fù)責(zé)人隨即召集軟件所和三峽集團(tuán)標(biāo)準(zhǔn)編制組的相關(guān)成員開會，具體討論和分配了小組的任務(wù)、標(biāo)準(zhǔn)修訂的重要事項以及需注意的事項。形成標(biāo)準(zhǔn)草案。2020年9月，標(biāo)準(zhǔn)編制組對原標(biāo)準(zhǔn)內(nèi)容進(jìn)行了分析，考慮當(dāng)前的網(wǎng)絡(luò)安全形勢、信息安全事件、網(wǎng)絡(luò)攻防技術(shù)等實際情況，以及國家重要單位對網(wǎng)絡(luò)安全進(jìn)行管理和打擊網(wǎng)上違法犯罪活動的需要，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行修訂，第一版標(biāo)準(zhǔn)草案提交國家網(wǎng)絡(luò)與信息安全信息通報中心進(jìn)行審閱，并根據(jù)反饋意見進(jìn)行了修改。按照信安標(biāo)委要求，2020年9月下旬，進(jìn)行了標(biāo)準(zhǔn)參編單位征集，并在參編單位范圍內(nèi)對第一版草案進(jìn)行了討論、修改和完善，形成了第二版標(biāo)準(zhǔn)草案。2020年10月29日，WG7組織召開了標(biāo)準(zhǔn)草案組內(nèi)專家審查會，標(biāo)準(zhǔn)編制組根據(jù)專家反饋意見，對標(biāo)準(zhǔn)草案進(jìn)行修改完善，形成了第三版標(biāo)準(zhǔn)草案。形成標(biāo)準(zhǔn)征求意見稿。2020年11月9日，信安標(biāo)委組織召開會議周，標(biāo)準(zhǔn)編制組根據(jù)專家反饋意見，對第三版標(biāo)準(zhǔn)草案進(jìn)行修改完善，2020年12月形成了標(biāo)準(zhǔn)征求意見稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、標(biāo)準(zhǔn)編制原則GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》在國內(nèi)各行業(yè)已應(yīng)用了13年時間，為國家網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報工作以及各行業(yè)信息安全事件管理相關(guān)工作提供了有效的標(biāo)準(zhǔn)支撐，得到了廣泛的應(yīng)用。因此，該標(biāo)準(zhǔn)修訂的主要原則是充分借鑒原標(biāo)準(zhǔn)的框架和結(jié)構(gòu)，吸納原標(biāo)準(zhǔn)對事件類別劃分和級別劃分的方式和考慮要素，在此基礎(chǔ)上，考慮當(dāng)前網(wǎng)絡(luò)安全形勢、信息安全事件、網(wǎng)絡(luò)攻防技術(shù)等實際情況以及國家重要單位對網(wǎng)絡(luò)安全進(jìn)行管理和打擊網(wǎng)上違法犯罪活動的需要，對事件的類別和級別進(jìn)行更新。原標(biāo)準(zhǔn)為我國自主制定的國家標(biāo)準(zhǔn)，在標(biāo)準(zhǔn)修訂的過程中，標(biāo)準(zhǔn)編制組也充分研究ISO/IEC27035、NISTSP800-61以及相關(guān)國際文獻(xiàn)中對信息安全事件分類分級的相關(guān)內(nèi)容，進(jìn)行借鑒與參考，確保標(biāo)準(zhǔn)內(nèi)容在適用、滿足國內(nèi)應(yīng)用的同時，也充分賦予其國際化屬性。2、標(biāo)準(zhǔn)解決的問題及主要內(nèi)容1）該標(biāo)準(zhǔn)擬解決的主要問題：a）完善信息安全事件分級問題事件分級依據(jù)是《網(wǎng)絡(luò)安全法》第五十三條第三款要求，“網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案應(yīng)當(dāng)按照事件發(fā)生后的危害程度、影響范圍等因素對網(wǎng)絡(luò)安全事件進(jìn)行分級，并規(guī)定相應(yīng)的應(yīng)急處置措施。”b）完善信息安全事件分類問題GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》主要從安全事件的行為模式、對系統(tǒng)的破壞程度和造成的社會影響等方面確定了信息安全事件分類辦法。現(xiàn)在我們面對的信息系統(tǒng)對象發(fā)生了很大變化，而且現(xiàn)在的攻擊越來越偏向綜合利用各種攻擊技術(shù)的方式，因此，在新形勢下解決信息安全事件的分類問題，我們即要做到與以前標(biāo)準(zhǔn)的有效銜接，又要符合當(dāng)前網(wǎng)絡(luò)安全工作的實際情況，同時還要便于國家實現(xiàn)應(yīng)急響應(yīng)處置機(jī)制與信息安全事件通報等相關(guān)工作。2）該標(biāo)準(zhǔn)擬修訂的主要內(nèi)容由指導(dǎo)性技術(shù)文件GB/Z變更為推薦性國家標(biāo)準(zhǔn)GB/T；對術(shù)語和定義進(jìn)行補(bǔ)充和改進(jìn)；對縮略語進(jìn)行調(diào)整和補(bǔ)充；對信息安全事件分類規(guī)則進(jìn)行調(diào)整，改變分類的處理方式，增加安全事件的類別，并對事件的子類進(jìn)行調(diào)整和補(bǔ)充；對信息安全事件分級規(guī)則進(jìn)行補(bǔ)充和改進(jìn)，并改進(jìn)分級的描述方式；增加信息安全事件分類和分級的關(guān)系；其他編輯性修改。三、主要試驗[或驗證]情況分析無四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果信息安全事件的分類分級，對于加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力，具有重要的推動和促進(jìn)作用。該標(biāo)準(zhǔn)內(nèi)容包括對信息安全事件的定義、信息安全事件的分類原則、分級原則以及對信息安全事件每一類別、每一級別的詳細(xì)描述，該標(biāo)準(zhǔn)為信息安全事件的分類分級提供權(quán)威的借鑒和參考，適用于信息安全事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對、事后處理提供基礎(chǔ)指南，最大可能防范事件處理不當(dāng)帶來的影響，減少事件分析、應(yīng)對不及時帶來的風(fēng)險和損失，供網(wǎng)絡(luò)運(yùn)營者和網(wǎng)絡(luò)安全主管部門參考使用，便于實現(xiàn)應(yīng)急響應(yīng)處置機(jī)制與信息安全事件通報機(jī)制，為國家重要單位、系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)管工作提供支撐。該標(biāo)準(zhǔn)可有效配合《中華人民共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護(hù)以及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等工作的落實與實施，同時為網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報工作、信息安全事件管理相關(guān)工作提供有效的標(biāo)準(zhǔn)支撐。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況近年來國外對信息安全事件的分類分級逐漸重視，在與信息安全事件相關(guān)的標(biāo)準(zhǔn)或文獻(xiàn)中對事件的分類分級都有所描述，例如國際標(biāo)準(zhǔn)ISO/IEC27035、美國的NISTSP800-61、英國CREST的CyberSecurityIncidentResponseGuide等，特別是ISO/IEC27035在附錄中對信息安全事件的分類分級給出了詳細(xì)描述，為此次修訂工作提供了重要參考。在修訂過程中，項目組將學(xué)習(xí)研究ISO/IEC27035等國內(nèi)外資料，借鑒參考相關(guān)內(nèi)容，結(jié)合國內(nèi)信息安全事件通報以及各行業(yè)最佳實踐，提出我們的信息安全事件的分類原則和分級原則，并給出事件分類和分級的關(guān)系表，以便于國家更好的實現(xiàn)應(yīng)急響應(yīng)處置機(jī)制與信息安全事件通報機(jī)制。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性該標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。該標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)不矛盾、不沖突，也不重復(fù)。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議根據(jù)該標(biāo)準(zhǔn)的性質(zhì)，建議該標(biāo)準(zhǔn)修訂為推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議該標(biāo)準(zhǔn)提供了信息安全事件分類分級的指南，用于信息安全事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對、事后處理提供基礎(chǔ)性支撐。該標(biāo)準(zhǔn)可適用于網(wǎng)絡(luò)運(yùn)營者以及網(wǎng)絡(luò)安全主管部門開展信息安全事件的分類分級工作。實施建議：1）實現(xiàn)與國家應(yīng)急響應(yīng)處置機(jī)制與信息安全事件通報機(jī)制有效銜接。事件分類分級即要吸收以前標(biāo)準(zhǔn)的精華，又要針對當(dāng)前信息安全事件的實際開展創(chuàng)新，同時還要便于國家實現(xiàn)應(yīng)急響應(yīng)處置機(jī)制與信息安全事件通報機(jī)制。2）推行標(biāo)準(zhǔn)的試點(diǎn)運(yùn)行。首先在通報工作中試行新的分類分級標(biāo)準(zhǔn)，由各通報單位對標(biāo)準(zhǔn)的內(nèi)容進(jìn)行驗證；進(jìn)而在國家重點(diǎn)行業(yè)內(nèi)對標(biāo)準(zhǔn)的內(nèi)容進(jìn)行試用，便于大家了解、學(xué)習(xí)并掌握新的分類分級內(nèi)容，也同步驗證標(biāo)準(zhǔn)在各行業(yè)的適用性；最后擴(kuò)展至國