信息安全技术 信息安全事件分类分级指南编制说明

国家标准征求意见稿资料国家标准《信息安全技术信息安全事件分类分级指南》（征求意见稿）编制说明一、工作简况1、任务来源根据国家标准化管理委员会2020年下达的国家标准制修订计划：《信息安全技术信息安全事件分类分级指南》，该标准由北京时代新威信息技术有限公司负责承办。该标准由全国信息安全标准化技术委员会归口管理。2、主要起草单位和工作组成员该标准由北京时代新威信息技术有限公司主要负责起草，指导单位为国家网络与信息安全信息通报中心，协作单位为中国科学院软件研究所、中国长江三峡集团有限公司。2020年9月，按照信安标委要求，该标准项目组进行了参编单位的征集，共有11家单位参与到该标准的修订工作中，分别是：杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、北京微智信业科技有限公司、启明星辰信息技术集团股份有限公司、陕西省网络与信息安全测评中心、北京神州绿盟科技有限公司、南方电网数字电网研究院有限公司、国家计算机网络应急技术处理协调中心、鼎铉商用密码测评技术（深圳）有限公司、北京数美时代科技有限公司、OPPO广东移动通信有限公司。标准主要起草人：王连强、王新杰、黄小苏、杨玉忠、阎若彤、任娟娟、夏雨、任彬、余国平、何余、王元戎、连一峰、张海霞、黄克振、高琪、李旸照、黎奇、梁伟、杨剑、崔婷婷、刘书鹏、魏玉峰、杨三杨、王健、郭晶、刘硕、陈建、王小璞。3、主要工作过程标准制定的主要工作过程如下：成立编制组。2020年8月，接到全国信息安全标准化技术委员会关于标准制定任务之后，课题组负责人随即召集软件所和三峡集团标准编制组的相关成员开会，具体讨论和分配了小组的任务、标准修订的重要事项以及需注意的事项。形成标准草案。2020年9月，标准编制组对原标准内容进行了分析，考虑当前的网络安全形势、信息安全事件、网络攻防技术等实际情况，以及国家重要单位对网络安全进行管理和打击网上违法犯罪活动的需要，对标准内容进行修订，第一版标准草案提交国家网络与信息安全信息通报中心进行审阅，并根据反馈意见进行了修改。按照信安标委要求，2020年9月下旬，进行了标准参编单位征集，并在参编单位范围内对第一版草案进行了讨论、修改和完善，形成了第二版标准草案。2020年10月29日，WG7组织召开了标准草案组内专家审查会，标准编制组根据专家反馈意见，对标准草案进行修改完善，形成了第三版标准草案。形成标准征求意见稿。2020年11月9日，信安标委组织召开会议周，标准编制组根据专家反馈意见，对第三版标准草案进行修改完善，2020年12月形成了标准征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制原则GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》在国内各行业已应用了13年时间，为国家网络安全监测预警和信息通报工作以及各行业信息安全事件管理相关工作提供了有效的标准支撑，得到了广泛的应用。因此，该标准修订的主要原则是充分借鉴原标准的框架和结构，吸纳原标准对事件类别划分和级别划分的方式和考虑要素，在此基础上，考虑当前网络安全形势、信息安全事件、网络攻防技术等实际情况以及国家重要单位对网络安全进行管理和打击网上违法犯罪活动的需要，对事件的类别和级别进行更新。原标准为我国自主制定的国家标准，在标准修订的过程中，标准编制组也充分研究ISO/IEC27035、NISTSP800-61以及相关国际文献中对信息安全事件分类分级的相关内容，进行借鉴与参考，确保标准内容在适用、满足国内应用的同时，也充分赋予其国际化属性。2、标准解决的问题及主要内容1）该标准拟解决的主要问题：a）完善信息安全事件分级问题事件分级依据是《网络安全法》第五十三条第三款要求，“网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。”b）完善信息安全事件分类问题GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》主要从安全事件的行为模式、对系统的破坏程度和造成的社会影响等方面确定了信息安全事件分类办法。现在我们面对的信息系统对象发生了很大变化，而且现在的攻击越来越偏向综合利用各种攻击技术的方式，因此，在新形势下解决信息安全事件的分类问题，我们即要做到与以前标准的有效衔接，又要符合当前网络安全工作的实际情况，同时还要便于国家实现应急响应处置机制与信息安全事件通报等相关工作。2）该标准拟修订的主要内容由指导性技术文件GB/Z变更为推荐性国家标准GB/T；对术语和定义进行补充和改进；对缩略语进行调整和补充；对信息安全事件分类规则进行调整，改变分类的处理方式，增加安全事件的类别，并对事件的子类进行调整和补充；对信息安全事件分级规则进行补充和改进，并改进分级的描述方式；增加信息安全事件分类和分级的关系；其他编辑性修改。三、主要试验[或验证]情况分析无四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果信息安全事件的分类分级，对于加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力，具有重要的推动和促进作用。该标准内容包括对信息安全事件的定义、信息安全事件的分类原则、分级原则以及对信息安全事件每一类别、每一级别的详细描述，该标准为信息安全事件的分类分级提供权威的借鉴和参考，适用于信息安全事件的防范与处置，为事前准备、事中应对、事后处理提供基础指南，最大可能防范事件处理不当带来的影响，减少事件分析、应对不及时带来的风险和损失，供网络运营者和网络安全主管部门参考使用，便于实现应急响应处置机制与信息安全事件通报机制，为国家重要单位、系统的网络安全监管工作提供支撑。该标准可有效配合《中华人民共和国网络安全法》、网络安全等级保护以及关键信息基础设施保护等工作的落实与实施，同时为网络安全监测预警和信息通报工作、信息安全事件管理相关工作提供有效的标准支撑。六、采用国际标准和国外先进标准情况近年来国外对信息安全事件的分类分级逐渐重视，在与信息安全事件相关的标准或文献中对事件的分类分级都有所描述，例如国际标准ISO/IEC27035、美国的NISTSP800-61、英国CREST的CyberSecurityIncidentResponseGuide等，特别是ISO/IEC27035在附录中对信息安全事件的分类分级给出了详细描述，为此次修订工作提供了重要参考。在修订过程中，项目组将学习研究ISO/IEC27035等国内外资料，借鉴参考相关内容，结合国内信息安全事件通报以及各行业最佳实践，提出我们的信息安全事件的分类原则和分级原则，并给出事件分类和分级的关系表，以便于国家更好的实现应急响应处置机制与信息安全事件通报机制。七、与现行相关法律、法规、规章及相关标准的协调性该标准符合现有法律法规的要求。该标准与现有国家标准不矛盾、不冲突，也不重复。八、重大分歧意见的处理经过和依据无。九、标准性质的建议根据该标准的性质，建议该标准修订为推荐性标准。十、贯彻标准的要求和措施建议该标准提供了信息安全事件分类分级的指南，用于信息安全事件的防范与处置，为事前准备、事中应对、事后处理提供基础性支撑。该标准可适用于网络运营者以及网络安全主管部门开展信息安全事件的分类分级工作。实施建议：1）实现与国家应急响应处置机制与信息安全事件通报机制有效衔接。事件分类分级即要吸收以前标准的精华，又要针对当前信息安全事件的实际开展创新，同时还要便于国家实现应急响应处置机制与信息安全事件通报机制。2）推行标准的试点运行。首先在通报工作中试行新的分类分级标准，由各通报单位对标准的内容进行验证；进而在国家重点行业内对标准的内容进行试用，便于大家了解、学习并掌握新的分类分级内容，也同步验证标准在各行业的适用性；最后扩展至国