ICS35.040L80中華人民共和國國家標準化指導性技術(shù)文件GB/Z20985—2007信息技術(shù)安全技術(shù)信息安全事件管理指南Informationtechnology-SecuritytechniquesInformationsecurityincidentmanagementguide（ISO/IECTR18044:2004,MOD)2007-06-14發(fā)布中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布中國國家標準化管理委員會

GB/Z20985一2007三次前言引言花圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5背景5.1目標5.2過程6信息安全事件管理方案的益處及需要應對的關(guān)鍵問題6.1信息安全事件管理方案的益處6.2關(guān)鍵問題7規(guī)劃和準備7.2信息安全事件管理策略7.3信息安全事件管理方案……7.4信息安全和風險管理策略·7.5ISIRT的建立·…13技術(shù)和其他支持7.67.7意識和培訓·······.··．...·...8.1概述·············關(guān)鍵過程的概述·8.28.3發(fā)現(xiàn)和報告…………8.4事態(tài)/事件評估和決策8.5響應·…………….9.1述…….9.2進一步的法律取證分析9.3經(jīng)驗教訓…確定安全改進·9.4209.5確定方案改進….………·10改進10.1概述…………10.2安全風險分析和管理改進10.3改善安全狀況10.4改進方案10.5其他改進

GB/Z20985—2007附錄A(資料性附錄)信息安全事態(tài)和事件報告單示例228附錄B(資料性附錄）信息安全事件評估要點指南示例35附錄C(資料性附錄)本指導性技術(shù)文件與ISO/IECTR18044:2004的技術(shù)性差異及其原因…338參考文獻A9

GB/Z20985—2007本指導性技術(shù)文件修改采用ISO/IECTR18044:2004《信息技術(shù)安全技術(shù)信息安全事件管理指南》考慮到我國國家標準的編寫要求.以及與其他信息安全事件相關(guān)標準技術(shù)內(nèi)容的協(xié)調(diào)性.本指導性技術(shù)文件在采用國際標準時.對部分內(nèi)容進行了修改。其中.技術(shù)性差異用垂直單線標識在它們所涉及的條款的頁邊空白處。在附錄C中給出了技術(shù)性差異及其原因的一覽表以供參考。本指導性技術(shù)文件由全國信息安全標準化技術(shù)委員會提出并歸口。本指導性技術(shù)文件起草單位：中國電子技術(shù)標準化研究所、北京同方信息安全股份有限公司、北京知識安全工程中心、北京郵電大學。本指導性技術(shù)文件主要起草人：上官曉麗、閔京華、趙戰(zhàn)生、王連強、徐國愛

GB/Z20985—2007目前.沒有任何一種具有代表性的信息安全策略或防護措施，能夠?qū)π畔ⅰ⑿畔⑾到y(tǒng)、服務或網(wǎng)絡提供絕對的保護。即使采取了防護措施.仍可能存在殘留的弱點·使得信息安全防護變得無效，從而導致信息安全事件發(fā)生·并對組織的業(yè)務運行直接或間接產(chǎn)生負面影響。此外，以前未被認識到的威脅也可能會發(fā)生。組織如果對這些事件沒有作好充分的應對準備·其任何實際響應措施的效率都會大打折扣甚至還可能加大潛在的業(yè)務負面影響的程度。因此.對于任何一個重視信息安全的組織來說，采用一種結(jié)構(gòu)嚴遂、計劃周全的方法來處理以下工作十分必要：發(fā)現(xiàn)、報告和評估信息安全事件；對信息安全事件做出響應.包括啟動適當?shù)氖录雷o措施來預防和降低事件影響,以及從事件影響中恢復（例如，在支持和業(yè)務連續(xù)性規(guī)劃方面)從信息安全事件中吸取經(jīng)驗教訓.制定預防措施·并且隨著時間的變化，不斷改進整個的信息安全事件管理方法。

GB/Z20985—2007信息技術(shù)安全技術(shù)信息安全事件管理指南范圍本指導性技術(shù)文件描述了信息安全事件的管理過程。提供了規(guī)劃和制定信息安全事件管理策略和方案的指南。給出了管理信息安全事件和開展后續(xù)工作的相關(guān)過程和規(guī)程。本指導性技術(shù)文件可用于指導信息安全管理者,信息系統(tǒng)、服務和網(wǎng)絡管理者對信息安全事件的管理。：規(guī)范性引用文件下列文件中的條款通過本指導性技術(shù)文件的引用而成為本指導性技術(shù)文件的條款。凡是注日期的引用文件.其隨后所有的修改單(不包括誤的內(nèi)容)或修訂版均不適用于本指導性技術(shù)文件,然而，鼓勵根據(jù)本指導性技術(shù)文件達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本指導性技術(shù)文件。GB/T19716—2005信息技術(shù)信息安全管理實用規(guī)則(ISO/IEC17799:2000.MOD)GB/Z20986—2007信息安全技術(shù)信息安全事件分類分級指南ISO/IEC13335-1:2004信息技術(shù)安全技術(shù)信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型3術(shù)語和定義GB/T19716-2005、ISO/IEC13335-1:2004中確立的以及下列術(shù)語和定義適用于本指導性技術(shù)文件。31業(yè)務連續(xù)性規(guī)劃businesscontinuityplanning這樣的一個過程.即當有任何意外或有害事件發(fā)生，且對基本業(yè)務功能和支持要素的連續(xù)性造成負面影響時·確保運行的恢復得到保障。該過程還應確?；謴凸ぷ靼粗付▋?yōu)先級、在規(guī)定的時間期限內(nèi)完成·且隨后將所有業(yè)務功能及支持要素恢復到正常狀態(tài)。這一過程的關(guān)鍵要素必須確保具有必要的計劃和設施,且經(jīng)過測試,它們包含信息、業(yè)務過程、信息系統(tǒng)和服務、語音和數(shù)據(jù)通信、人員和物理設施等。3.2信息安全事態(tài)informationsecurityevent被識別的一種系統(tǒng)、服務或網(wǎng)絡狀態(tài)的發(fā)生，表明一次可能的信息安全策略違規(guī)或某些防護措施失效，或者一種可能與安全相關(guān)但以前不為人知的一種情況3.3信息安全事件informationsecurityincident由單個或一系列意外或有害的信息安全