信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理-编制说明

PAGE1PAGE任务来源根据国家标准化管理委员会下达的2013年国家标准制修订计划，国家标准GB/Z20985—2007《信息技术安全技术信息安全事件管理》修订由中国电子技术标准化研究院主办，中电长城网际系统应用有限公司、中国信息安全研究院有限公司等单位参与，标准计划号为20130333-T-469。任务背景2007年发布的国家标准GB/Z20985—2007《信息技术安全技术信息安全事件管理》修改采用国际信息安全标准化组织ISO/IECJTC1SC27于2004年10月15日发布的国际标准ISO/IECTR18044:2004《信息技术安全技术信息安全事件管理（Informationtechnology—Securitytechniques—Informationsecurityincidentmanagement）》。2008年4月16日，ISO/IECJTC1SC27提出修订ISO/IECTR18044:2004，以确保与ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》和ISO/IEC27002:2005《信息技术安全技术信息安全管理实用规则》完全兼容，并将标准类型由TR改为IS，同时纳入ISO/IEC27000系列标准，标准编号为ISO/IEC27035，项目编号为1.27.71，我国专家为联合编辑。2011年9月1日，ISO/IEC27035:2011《信息技术安全技术信息安全事件管理》（第一版）正式发布。2012年2年8日，ISO/IECJTC1SC27提出提早修订ISO/IEC27035:2011，并将标准分为三部分，包括ISO/IEC27035-1《第1部分：事件管理原理》（我国专家为编辑）、ISO/IEC27035-2《第2部分：事件管理准备指南》（后更名为《第2部分：事件响应规划和准备指南》）和ISO/IEC27035-3《第3部分：CSIRT操作指南》（后更名为《第3部分：事件响应操作指南》）。2016年11月1日，ISO/IEC27035-1和ISO/IEC27035-2正式发布，而ISO/IEC27035-3因内容不足回退到同名研究期项目“事件响应操作指南”继续开发。考虑到国际标准的发展形势，决定将GB/Z20985—2007标准修订由原定的等同采纳ISO/IEC27035:2011改为等同采纳最新发布的ISO/IEC27035-1:2016，并将标准编号由GB/Z20985改为GB/T20985-1。编制原则等同采用：基于目前国内对国际信息安全管理体系（ISMS）标准族相关标准的研究和转化情况，以及我国整体信息安全管理理论和技术发展现状，决定等同采用国际标准ISO/IEC27035-1:2016《信息技术安全技术信息安全事件管理第1部分：事件管理原理》。准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表达原意。语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。主要工作过程1、2013-2014年，课题组持续跟踪研究国际标准ISO/IEC27035-1进展，闵京华博士作为该国际标准编辑，全程积极主导了该国际标准制定工作，同时组织国内相关专家对标准制定思路和发展趋势进行研究分析。2、2015年，ISO/IEC27035-3在各成员国征集贡献，课题组组织国家互联网应急中心等单位，启动研究信息安全事件响应等国际标准提案，数次讨论研究，初步确定信息安全事件响应国际提案研究思路。3、2016年4月26日，我国专家担任编辑的ISO/IEC27035-1《信息技术安全技术信息安全事件管理第1部分：事件管理原理》国际标准最终草案（FDIS）全票通过，顺利进入正式发布阶段。因此，为适应国际标准的发展，决定将所转国际标准由ISO/IEC27035:2011改为ISO/IEC27035-1。4、2016年5月至10月，研究和翻译ISO/IECFDIS27035-1《信息技术安全技术信息安全事件管理第1部分：事件管理原理》，并形成GB/T20985-1《信息技术安全技术信息安全事件管理第1部分：事件管理原理》草案（第一稿）。5、2016年11月1日，ISO/IEC27035-1《信息技术安全技术信息安全事件管理第1部分：事件管理原理》国际标准正式发布。6、2016年12月，形成等同采用ISO/IEC27035-1:2016的GB/T20985-1《信息技术安全技术信息安全事件管理第1部分：事件管理原理》征求意见稿。7、2016年12月22日，信安标委WG7组织了专家审查会。12月25日，根据会上专家意见对征求意见稿第1稿进行修改完善，形成征求意见（中英文对照）第2稿，同时更新编制说明和意见汇总表。主要内容GB/T20985-1《信息技术安全技术信息安全事件管理第1部分：事件管理原理》提出了信息安全事件管理的基本概念和阶段，并将这些概念与一种结构化方法中的原理相结合来发现、报告、评估和响应事件，以及进行经验总结。GB/T20985-1内容目次如下：前言引言1范围2规范性引用文件3术语和定义4概述4.1基本概念和原理4.2事件管理目标4.3结构化方法的益处4.4适应性5阶段5.1概述5.2规划和准备5.3发现和报告5.4评估和决策5.5响应5.6经验总结附录A（资料性附录）与调查性标准的关系附录B（资料性附录）信息安全事件及其起因示例附录C（资料性附录）GB/T22080与GB/T20985对照表参考文献主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果该标准所给出的信息安全事件管理原理是通用的，适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质，关联信息安全风险状况，调整该标准给出的指南。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况该标准等同采用最新发布的国际标准ISO/IEC27035-1:2016《信息技术安全技术信息安全事件管理第1部分：事件管理原理》，力争做到与所采用的国际标准同步发布。与有关的现行法律、法规和强制性国家标准的关系该标准符合我国现行的法律、法规和强制性国家标准。重大分歧意见的处理经过和依据尚无。国家标准作为强制性国家标准或推荐性国家标准的建议建议该标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）该标准是信息安全事件管理的基础标准，对于信息安全事件管理的沟通、研究、开发和实施具有普遍的指导意义。因此，建议在信息安全事件管理相关的所有人员中进行宣贯和培训。