《信息技术 安全技术 信息安全事件管理 第2部分：事件响应规划和准备指南-编制说明》

一、工作简况

[内容包括下达计划任务主管部门的完整名称、项目计划发布文件号、本项目的计划代

号和主要承办单位完整名称、副主办单位或协作单位完整名称、主要工作过程、主要起草人

及其所做的工作等]

1、任务来源

《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准

备指南》国家标准制定是全国信息安全标准化技术委员会2018年下达的国家标准

制定项目，项目编号为2018BZZD-WG7-001。

2、承办单位

本标准由全国信息安全标准化技术委员（TC260）会提出并归口，主要承办

单位为中电长城网际系统应用有限公司，副主办单位包括三六零科技有限公司、

国家计算机网络应急技术处理协调中心、公安部第三研究所、中国信息安全研究

院有限公司、陕西省网络与信息安全测评中心。

3、项目背景

2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及

应对网络安全事件，从技术措施、应急预案、应急处置、调查评估、责任追究等

方面提出了法定要求。为了落实这些法定要求，需要制定相应的国家标准在标准

层面上配套支撑。

随着新一代信息技术的发展，信息安全面临着更为严峻的挑战，信息安全事

件管理在信息系统运维过程中的重要程度和工作比重越来越大，信息安全事件响

应全球化趋势越发显著。

信息安全事件管理是关键信息基础设施必备的安全控制。有效的信息安全事

件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要

保证。

2007年发布的国家标准GB/Z20985—2007《信息技术安全技术信息安全

事件管理指南》是修改采用技术报告类国际标准ISO/IECTR18044:2004。最新

发布的国际标准ISO/IEC27035-1:2016和ISO/IEC27035-2:2016进一步发展了之

前的国际标准ISO/IECTR18044:2004和ISO/IEC27035:2011《信息技术安全

技术信息安全事件管理》。为此，2013年立项的GB/Z20985—2007标准修订项

1

目等同采用了ISO/IEC27035-1:2016，形成了多部分标准GB/T20985的第1部分，

并已于2017年12月29日正式发布。因此，与第1部分配套采用ISO/IEC

27035-2:2016的GB/T20985第2部分，即GB/T20985.2《信息技术安全技术信

息安全事件管理第2部分：事件响应规划和准备指南》，有必要尽快配套制定。

4、工作过程

（1）2018年8月，与全国信息安全标准化技术委员会秘书处挂靠单位中国

电子技术标准化研究院签订了项目任务同书。

（2）2018年10月10日，项目组在项目申报时提交的标准草案v1.0基础上继

续改进，形成标准草案v1.1。

（3）2018年10月16-23日，在WG7工作组内进行了专家函审，并根据专家反

馈意见形成了标准草案v1.2。

（4）2018年10月24日，在全国信安标委2018年第二次会议周WG7工作组全

体会议上汇报了工作进展情况及标准草案v1.2文本，并听取了来自工作组成员单

位代表的意见和建议，经投票表决同意进入征求意见稿阶段。

（5）2018年12月，全面改进和完善草案v1.2后，形成征求意见稿v2.0，提

交至全国信安标委秘书处。

二、标准编制原则和确定主要内容的论据及解决的主要问题

[如技术指标、参数、公式、性能要求、试验方法、检验规则等的论据，包括试验、统

计数据，解决的主要问题。修订标准时应列出与原标准的主要差异和水平对比]

1、编制原则

（1）配套适用：该标准采用国际标准ISO/IEC27035-2:2016《信息技术安

全技术信息安全事件管理第2部分：事件响应规划和准备指南》，配套已等

同采用国际标准ISO/IEC27035-1:2016的国家标准GB/T20985.1《信息技术安

全技术信息安全事件管理第1部分：事件管理原理》，同时需考虑其技术内

容对我国国情的适用性。

（2）准确理解：在充分理解国际标准原文的基础上进行翻译，做到准确表

达原意。

（3）语言通畅：在翻译过程中，尽量符合中文的语言习惯，做到表述通畅。

2

2、主要内容

GB/T20985.2基于GB/T20985.1中给出“信息安全事件管理阶段”模型的

“规划和准备”阶段和“经验总结”阶段，提供进一步指南。

“规划和准备”阶段的内容要点包括以下方面：

•信息安全事件管理策略和最高管理者的承诺；

•在公司层面以及系统、服务和网络层面更新的信息安全策略，包括那些

与风险管理相关的；

•信息安全事件管理计划；

•事件响应小组（IRT）的建立；

•建立与内部和外部组织的关系和联络；

•技术及其他方面（包括组织和运行方面）的支持；

•信息安全事件管理的意识教育和培训；

•信息安全事件管理计划的测试。

“经验总结”阶段的内容要点包括以下方面：

•识别经验教训；

•识别并改善信息安全控制的实施；

•识别并改善信息安全风险评估和管理的评审结果；

•识别并改善信息安全事件管理计划；

•事件响应小组（IRT）评价；

•其他改进。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

[相关知识产权情况的说明。如果在标准编制过程中识别出标准的某些技术内容涉及专

利，则应列出相关专利的目录及其使用理由]

无。

五、产业化情况、推广应用论证和预期达到的经济效果

[电子行业标准必须填写。对于国家标准如不要求此内容可删除章号和标题]

—

3

六、采用国际标准和国外先进标准情况

[采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，

国内外关键指标对比分析或与测试的国外样品、样机的相关数据对比情况]

该标准采用最新发布的国际标准ISO/IEC27035-2:2016《信息技术安全技

术信息安全事件管理第2部分：事件响应规划和准备指南》。

七、与现行相关法律、法规、规章及相关标准的协调性

[与相关的现行法律、法规和规章的符合性，特别是与强制性国家标准的协调性，以及

与同类标准和标准体系中其他标准的协调性说明]

该标准符合我国相关的现行法律、法规和规章。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

[建议是强制性标准还是推荐性标准，对于强制性标准必须列出强制的理由，强制范围]

建议该标准作为推荐性国家标准发布实施。

十、贯彻标准的要求和措施建议

[内容包括组织措施、技术措施、过渡办法、实施日期等]

该标准是信息安全事件管理的通用标准，对于信息安全事件管理的研究、开

发和实施具有普遍的指导意义。因此，建议所有有信息安全事件管理需求的组织

和人员，遵循GB/T20985《信息技术安全技术信息安全事件管理》这套国家

标准开展宣贯、培训和落实，使其融入组织和人员的信息安全日常工作中。

十一、替代或废止现行相关标准的建议

[说明废止和/或替代相关标准的情况。报批国家标准时，如有相应转换、代替、废止的

电子行业标准或指导性技术文件，亦应说明]

无。

十二、其它应予说明的事项

无。

4

国家标准GB/T20985.2《信息技术