ICS35.040 L80 GB 中华人民共和国国家标准 GB/T20985.1-2017/ISO/IEC27035-1:2016 代替GB/Z20985一2007 信息技术安全技术信息安全事件管理 第1部分:事件管理原理 Information technology-Security techniques-Information security incident management-Part 1:Principles of incident management (ISO/IEC27035-1:2016 IDT) 2017-12-29发布 2018-07-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T20985.1-2017/ISO/IEC27035-1:2016 目 次 前言 Ⅲ 引言 IV 1范围 1 2规范性引用文件 1 3术语和定义 4概述 2 4.1基本概念和原理 4.2事件管理目标 3 4.3结构化方法的益处 4.4适应性 5 5阶段 5.1概述 5 5.2规划和准备 8 5.3发现和报告 8 5.4评估和决策 5.5响应 9 5.6经验总结 10 附录A(资料性附录)与调查类标准的关系 11 附录B(资料性附录)信息安全事件及其起因示例13 附录C(资料性附录)ISO/IEC27001与ISO/IEC27035对照表 15 参考文献 17 I GB/T20985.1-2017/ISO/IEC27035-1:2016 前言 GB/T20985《信息技术安全技术信息安全事件管理》分为三个部分: —第1部分:事件管理原理; —第2部分:事件响应规划和准备指南; —第3部分:事件响应操作指南. 本部分为GB/T20985的第1部分. 本部分按照GB/T1.1一2009给出的规则起草. 本部分代替GB/Z20985一2007《信息技术安全技术信息安全事件管理指南》,与GB/Z20985一 2007相比主要技术变化如下: ——由指导性技术文件改为推荐性国家标准,并拟分为三个部分; ——删除了“业务连续性规划”的术语和定义(见2007年版的3.1); 一增加了“信息安全调查”“信息安全事件管理”“事件处理”“事件响应”和“联系点”的术语和定义 (见3.1、3.5~3.8); 一将术语“信息安全事件响应组(ISIRT)”改为“事件响应小组(IRT)” 并修改了其定义(见3.2, 2007年版的3.4); —修改了术语“信息安全事态”和“信息安全事件”的定义(见3.3和3.4 2007年版的3.2和3.3); —将“规划和准备”“使用”“评审”和“改进”四个信息安全事件管理过程调整为“规划和准备”“发 现和报告”“评估和决策”“响应”和“经验总结”五个信息安全事件管理阶段,并相应调整了其中 的主要活动(见第5章,2007年版的5.2和第7章~第10章). 本部分使用翻译法等同采用ISO/IEC27035-1:2016《信息技术安全技术信息安全事件管理 第1部分:事件管理原理》. 与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下: —GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC 27000:2016 IDT) 本部分由全国信息安全标准化技术...