网络安全技术 网络安全事件管理 第1部分：原理和过程 征求意见稿

1GB/T20985.1—XXXX/ISO/IEC27035-1:2023网络安全技术网络安全事件管理第1部分：原理和过程本文件提出了网络安全事件管理关键活动的基本概念、原理和过程，提供了结构化的方法来准备、发现、报告、评估和响应事件并进行经验总结。本文件中关于网络安全事件管理过程及其关键活动的指南是通用的，适用于任何类型、规模或性质的组织，组织可根据其类型、规模和与网络安全风险情况相关的业务特性调整指南。本文件也适用于提供网络安全事件管理服务的外部组织。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29246—2023信息技术安全技术信息安全管理体系概述和词汇3术语和定义GB/T29246—2023中界定的以及下列术语和定义适用于本文件。3.1事件管理小组incidentmanagementteam由组织中具备适当技能且可信的成员组成的团队，负责牵头管理所有网络安全事件管理活动，并在整个事件生存周期内与内部和外部相关方协调。注：该团队的负责人可称为事件管理者，由最高管理层任命，以充3.2事件响应小组incidentresponseteamIRT由组织中具备适当技能且可信的成员组成的团队，以协调的方式响应和处理事件。3.3事件协调员incidentcoordinator负责牵头处理所有事件响应（3.9），并协调事件响应小组（3.2）的人员。2GB/T20985.1—XXXX/ISO/IEC27035-1:20233.4网络安全事态cybersecurityevent表明一次可能的网络安全违规或某些控制失效的发生。3.5网络安全事件cybersecurityincident与可能危害组织资产或损害其运行相关的、单个或多个被识别的网络安全事态(3.4)。3.6网络安全事件管理cybersecurityincidentmanagement采用一致和有效方法处理网络安全事件(3.5)的行为。3.7网络安全调查cybersecurityinvestigation使用检查、分析和解释等多种方法，以帮助理解网络安全事件（3.5）。[来源：ISO/IEC27042:2015,3.10,有修改]3.8事件处理incidenthandling发现、报告、评估、响应和处理网络安全事件（3.5），并从中汲取经验教训的行动。3.9事件响应incidentresponse为缓解或解决网络安全事件（3.5）而采取的行动，包括为保护信息系统及其存储的信息并将其恢复至正常运行状态而采取的行动。3.10联系点pointofcontactPoC被定义为事件管理活动的协调者或信息聚焦点的组织功能或角色。4缩略语下列缩略语适用于本文件。BCP：业务连续性规划（businesscontinuityplanning）CERT：计算机应急响应小组（computeremergencyresponseteam）CSIRT：计算机安全事件响应小组（computersecurityincidentresponseteam）DRP：灾难恢复计划（disasterrecoveryplanning）ICT：信息和通信技术（informationandcommunicationstechnology）ISMS：信息安全管理体系（informationsecuritymanagementsystem）PoC：联系点（pointofcontact）RPO：恢复点目标（recoverypointobjective）GB/T20985.1—XXXX/ISO/IEC27035-1:20233RTO：恢复时间目标（recoverytimeobjective）5概述5.1基本概念发生网络安全事态和事件的原因有多种：——技术/工艺、组织或物理脆弱性（部分原因是由于未完全实施已确定的控制措施）可能被利用，因为不可能完全消除暴露或风险；——人为错误；——技术失效；——未完整实施风险评估，忽略了风险；——风险处理未充分覆盖风险；——环境变化（内部和/或外部），导致新风险存在或部分已处理的风险再次出现。网络安全事态的发生并不意味着攻击成功或存在保密性、完整性或可用性问题，也就是说，并非所有网络安全事态都属于网络安全事件。网络安全事件可能是故意的（例如：由恶意软件或故意违纪造成的）或意外的（例如：由意外的人为错误或不可避免的自然行为造成的），可能是由技术手段（例如：计算机病毒)或非技术手段（例如：计算机丢失或被盗）造成的。其后果包括信息未经授权的泄露、修改、破坏或不可用，或者组织信息资产的损坏或被盗。附录B是资料性附录，它选择了一些网络安全事件及其起因的示例进行描述。需要注意的是这些示例并不是全部。在信息系统、服务或网络中威胁利用脆弱性（弱点信息资产所暴露的脆弱性引起网络安全事态的发生并因此可能导致事件。图1给出了网络安全事件中对象的关系。图1网络安全事件中各对象之间的关系协调是网络安全事件管理的一个重要方面。许多事件跨越组织边界，无法由发现事件的单个组织或组织中的单个部门来处理。组织宜致力于总体事件管理目标。对于多个组织协作处理网络安全事件，需要在整个事件管理流程中进行事件管理协调，例如CERT和CSIRT。信息共享对于事件管理协调是必要的，不同的组织可以相互共享威胁、攻击和漏洞信息，以便其他组织可从组织的知识中获益。组织宜保护信息共享和沟通过程中的敏感信息，详见ISO/IEC27010。应在规定的时间范围内解决网络安全事件，以避免不可接受的损害或导致的灾难。在发生事态、脆弱性或不合规的情况下，解决方案有延迟也是可以接受的。GB/T20985.1—XXXX/ISO/IEC27035-1:202345.2事件管理目标作为一个组织整体网络安全战略的关键部分，组织宜部署控制和规程来促使一种结构严谨、计划周全的方法进行网络安全事件管理。从组织的角度，其主要目标是避免或遏制网络安全事件的影响，以尽可能减少事件对其运行的直接或间接损害。由于损害信息资产会给运行带来负面影响，运行和业务的视角对于决定更加具体的网络安全管理目标会有重要影响。结构严谨、计划周全的事件管理方法的更加具体目标宜包括：a)发现并有效处理网络安全事态，尤其是确定什么时候它们被归为网络安全事件；b)在预定时间范围内，以最恰当和有效的方式，对已识别的网络安全事件进行评估和响应；c)作为事件响应的一部分，通过恰当的控制尽可能减少网络安全事件对组织及其运行的负面影d)建立在事件升级过程中与危机管理和业务连续性管理的相关要素的关联。当情况需要时，需要迅速将责任和行动从事件管理转移到危机管理，一旦危机得到解决，就立即撤销这一命令，以便彻底解决事件；e)评估并适当处理网络安全脆弱性，以防止或减少事件。根据职责分配，评估可由事件响应小组或组织内其他团队完成；f)及时从网络安全事件、脆弱性及其管理中汲取经验教训。这种反馈机制旨在进一步防止网络安全事件未来发生的可能，改进信息安全控制的实施和使用，并整体改进网络安全事件管理方案。为实现上述目标，组织宜确保网络安全事件以一致的方式被记录，并使用适当的标准对事件进行分类、分级和共享，以便经过一段时间后能够从聚合的数据中提取指标。这将为信息安全控制投入的策略决策过程提供有价值的信息。网络安全事件管理系统宜能与内外部相关方共享信息。本文件的另一个目标是，为致力于满足GB/T22080中规定的信息安全管理体系（ISMS）要求的组织提供指导，这些要求得到GB/T22081指南的支持。GB/T22080包括与信息安全事件管理相关的要求。表C.1给出了GB/T22080中信息安全事件管理条款与本文件条款之间的对照表。图2也展示了与ISMS的关系。本文件还支持ISMS以外的信息安全管理体系提出的要求。图2网络安全事件管理与ISMS和应用的控制之间的关系5.3结构化方法的益处使用结构化方法进行网络安全事件管理能产生显著效益，可归纳为如下方面：GB/T20985.1—XXXX/ISO/IEC27035-1:20235a)改进整体安全发现、报告、评估和决策网络安全事态和事件的结构化过程能促使快速识别和响应。这将有助于快速识别和实施一致的解决方案，并因此提供防止将来类似的网络安全事件再次发生的手段，从而提高整体安全性。此外，指标、共享和聚合也带来益处。组织的公信力将通过证明其对网络安全事件管理最佳实践的实现得到提升。b)降低对业务的负面影响结构化的网络安全事件管理方法有助于降低对业务潜在负面影响的程度。这些影响包括直接经济损失和由于声誉与公信力受损而造成的长期损失。有关业务影响分析指南见GB/T31722。有关业务持续性的信息与通信技术就绪指南见ISO/IEC27031。c)强化对网络安全事件的预防采用结构化的网络安全事件管理有助于在组织内创造一个以事件预防为重点的氛围，包括识别新的威胁和脆弱性的方法开发。对事件相关数据的分析能够识别事件的模式和趋势，从而帮助更准确地聚焦事件预防，并识别适当措施以防止事件再次发生。d)改进优先级结构化的网络安全事件管理方法为网络安全事件调查时优先级的确定提供可靠基础，包括使用有效的分类和分级方法。如果没有清晰的规程，会存在调查活动可能采取过度反应模式的风险，即当事件发生时才响应并忽视了具有更高优先级的活动。e)支持证据收集和调查必要时，清晰的事件调查规程有助于确保数据的收集和处理是证据充分的、法律允许的。如果随后要进行法律诉讼或纪律处分的话，这些是重点考虑事项。有关更多的数字证据和调查信息，见附录A中列出的调查类标准。f)有助于对预算和资源的论证定义明确且结构化的网络安全事件管理方法，有助于正确判断和简化所涉及组织部门的预算和资源分配。此外，对网络安全事件管理计划自身的益处将显现在更好的人员和资源分配计划上。例如：一种控制并优化预算和资源的方式是给网络安全事件管理任务加“时间戳”，来帮助定量评估组织的网络安全事件处理。它可以提供信息来说明解决不同优先级和不同平台上的事件需要多长时间。如果网络安全事件管理过程中存在瓶颈，也应该是可识别的。g)改进信息安全风险评估和管理结果的更新使用结构化的网络安全事件管理方法有助于：——收集更好的数据来帮助识别和确定各种威胁类型及相关脆弱性的特征；——提供有关已识别威胁类型的发生频率的数据，以帮助分析控制效力（即，识别失效并导致违规的控制，加强此类控制以减少再次发生）。从网络安全事件中获取的有关对业务运行造成负面影响的数据，对于业务影响分析十分有用。识别各种威胁类型发生频率所获取的数据，有助于提高威胁评估的质量。同样，有关脆弱性的数据，有助于提高未来脆弱性评估的质量。有关信息安全风险评估与管理指南见GB/T31722。h)提供增强的网络安全意识和培训教材结构化的网络安全事件管理方法使组织能够收集它如何处理事件的经验和知识，这将为网络安全意识教育课程提供有价值的资料。含有实际经验总结的网络安全意识教育课程，有助于减少在未来网络安全事件中的错误或困惑。i)为信息安全策略及相关文件评审提供输入网络安全事件管理计划所提供的数据能为事件管理安全策略（以及其他相关信息安全文件）的有效性评审及随后的改进提供有价值的输入。这可应用在既适用于整个组织又适用于单个系统、服务和网络的主题特定策略及其他文件。GB/T20985.1—XXXX/ISO/IEC27035-1:202365.4适应性GB/T20985系列所提供的指南内容丰富，如果全部实施，将占用大量的运行和管理资源。因此，重要的是组织在应用GB/T20985时宜保持一种整体观，并确保用于网络安全事件管理的资源和机制复杂度与以下方面相称：a)组织的规模、结构和业务性质，包括宜得到保护的关键资产、过程和数据；b)任何用于事件处理的信息安全管理体系的范围；c)事件的潜在风险；d)业务目标。因此，组织在使用本文件时宜以一种与其业务规模和特点相适应的方式采用本部分给出的指南。5.5能力5.5.1概述网络安全事件可能危及业务目标的实现并产生危机。风险评估后，可能为两种情况。一种为可能性从中到高和后果从低到中的情况，另一种为可能性（非常）低和后果非常高的情况。后一种情况是指并非总是能够完全预防，并且在某些情况下中断决策链的危机。ISO/IEC27031提供了关于业务连续性信息通信技术（ICT）就绪性的指导，以便在出现网络安全事件和事态以及相关中断时支持业务运营。危机管理的总体目标是：——保护人的生命，包括必要的关键基础设施；——支持日常活动的连续性；——尽可能保护资产，包括财产和自然环境。危机一般不同，目标遵循以下原则：——协调性：有效的协调和沟通促进信息共享；——连续性：对危机的预防、准备、响应和恢复宜以组织的现有职能和熟悉的工作方式为基础；——相称性：危机管理宜根据危机的规模和性质进行校准；——可审计性：决策和行动透明、负责；——综合性：预防、准备、响应和恢复宜被视为可能同时或连续发生。网络安全事件管理要求能够确保管理的一致性，以实现高效的事件处理。宜通过事件管理策略、规划、流程和程序以及结构合理的团队、熟练人员、信息共享以及与内部和外部其他方的协调来建立这种能力。5.5.2方针、规划和过程组织的信息安全管理策略宜考虑网络安全事件管理如何与风险管理保持一致。为实现这一目标，作为风险管理过程的一部分，组织宜确定他们想要应对和控制的事态/事件列表，同时确保尽可能减少对业务运营和目标的影响。事件管理需要定义相关流程并经最高管理层批准。流程包括在流程各阶段需执行的动作（或过程以及具有适当的沟通渠道和方式。5.5.3事件管理结构为了能够一致地响应事态和事件，组织宜建立事件管理能力，以制定网络安全事件管理策略和描述事件响应结构。组织还宜确保使用指令和资源充分应对事件。a)事件管理小组事件管理小组由组织内技能熟练且值得信赖的成员组成，负责领导所有网络安全事件管理活动，并GB/T20985.1—XXXX/ISO/IEC27035-1:20237在整个事件生命周期内与其他内部和外部各方进行协调。事件管理小组提供所有必要的服务，以应对事件，不仅包括准备、发现、报告、评估和响应事件，还包括威胁和漏洞检测、咨询、信息共享、吸取经验教训、改进、教育和意识。为了提供这些服务，事件管理小组可以在任何时候引入任何必要的资源。组织宜确定和分配角色和职责，以处理、协调和响应事件。b)联系点联系点（PoC）是人员在发现异常情况以及在策略和意识会议中被视为事态时可以求助的角色、地址或人员。根据组织的性质和规模，可以有多个PoC。例如，一个PoC是信息通信技术问题，一个PoC是物理、组织和程序情况，这与已经存在的针对事故、火灾和其他受损设备的情况类似。c)事件协调员：——协调和管理信息系统或个人提出的事件通知和警报；——对事态进行评估并宣布事件；——配合事件响应小组并协调其活动；——记录有关事件及其解决方案的所有信息；——完成并发送事件报告及其改进建议；——按照事件管理小组的指示与内部和外部组织协调事件处理。事件协调员宜在整个事件期间保持整体控制。如果事件超出某名事件协调员的工作时间，需要有人在场/可用，则另一名事件协调员宜接管所有必要的信息和权限。如果需要致电BCP（业务连续性规划）/DRP（灾难恢复规划）协调员或小组，事件协调员宜保持知情状态，并在危机解决后恢复对事件的管理，以便完全解决。d)事件响应小组：——执行“过程”以响应事件；——发现根本原因和隐藏的脆弱性；——解决事件；——向事件协调员报告。e)变更采取措施改进事件预防和响应的管理团队。f)宣传和培训团队，负责准备旨在识别和报告不必要事件的计划和课程。g)脆弱性管理团队，分析事件期间检测到的脆弱性并向变更管理团队提供建议。h)确保与BCP/DRP协调员或小组协调危机管理团队。i)安全监控团队，负责根据经验教训更新监控和检测系统规则，并监控类似事件的再次发生。5.6沟通组织宜将批准的网络安全事件管理策略传达给相关方，这包括内部员工和有权访问组织信息的外部人员。组织宜传达以下内容：——组织的网络安全事件策略和相关程序；——人员的义务/期望；——事件报告程序；——联系谁获取更多信息；——事件后果以及如何尽量减少再次发生。组织宜促进事件管理的“无过错”报告流程，使工作人员能够站出来报告事态，而不必担心报复。焦点宜改为关注组织从接收事件报告、学习中获得的积极成果并从事件中得到改善，从而变得更安全、更有弹性。事件报告首先是“无过错”，即不将过失或过错与所报告事件相关联。在调查之后，如果事件被发GB/T20985.1—XXXX/ISO/IEC27035-1:20238现是故意违反组织政策和程序的结果，或者是多次出现不当行为或疏忽，则可能会受到制裁。沟通对于控制事件消息传递至关重要，包括消息传递的地点、时间、内容和方式，以提供适当的响应和满足组织或社会需求。内部沟通对于有效的响应和恢复是必要的，而外部沟通对于公司形象来说是必不可少的。注：事件的信息泄露（也称为不受控的沟通只有经过适当授权和准备的人员才能与外部进行交流，以便只在最佳时机以适当的形式说明必要信5.7文档5.7.1概述从事件发现到解决，尽可能多地记录与事件相关的信息至关重要。事件报告是所有这些信息的综合。5.7.2事态报告事态报告宜包含了解事态并决定是否将事态归类为事件所需的所有内容。这包括：a)发现日期和时间；b)举报人姓名（可以隐藏以保密）；c)理解事态的所有情况和事实。5.7.3事件管理日志宜对事件响应期间收集的所有信息进行文档化、记录或者保存日志，作为行动记录，即日期/时间和相应的行动/决定。5.7.4事件报告事件报告是整个事件生命周期中收集的所有信息的综合。它用于分析和评估事件，并决定是否计划对事件管理能力进行变更（见5.5）。宜为事件报告编制预先格式化的模板文件，以确保未遗漏或忽略必要的信息。5.7.5事件登记所有网络安全事件宜被记录到集中管理的事件数据库中。该数据库为事件管理团队提供了组织内发生的事件、事件状态和所有后续活动的概述。事件管理团队还可使用该数据库向管理层提供报告围绕威胁环境的趋势和主题进行管理，并反馈给组织规划和风险评估活动。6过程6.1概述为实现5.2所述目标，网络安全事件管理过程包括五个不同的阶段：——规划和准备（见6.2）；——发现和报告（见6.3）；——评估和决策（见6.4）；——响应（见6.5）；——经验总结（见6.6）。图3给出了上述阶段的高层视图。GB/T20985.1—XXXX/ISO/IEC27035-1:20239一些活动可能发生在多个阶段或贯穿事件处理过程。这些活动包括：——记录事态和事件证据和关键信息、采取的响应措施，以及作为事件处理流程的一部分而采取的后续行动；——相关方之间的协调和沟通；——向管理层和其他相关方告知重大事件；——相关方与内部和外部协作者（诸如供应商和其他事件响应小组）之间的信息共享。在事件或事态管理过程中，各步骤时间应考虑以下因素：a)发现：尽快完成。b)报告：完成所需表格，避免非必要延迟，或通过自动方法完成。c)响应：在损害（影响和后果）超过组织确定的限值之前尽快开始响应，以避免出现需要采取BCP/DRP措施的情况。应在BCP中明确定义可接受限值并告知每个人。因此，各类事件可能具有不同的解决路径或模式。d)沟通——内部：尽快采取措施和行为并防止事件扩大；——外部：尽快获得相关外部介入方的必要帮助，并通知利益相关方。e)升级：在组织确定的时间间隔内和/或在影响超过组织确定的限值之前。f)通知：在组织确定的时间间隔或任何法律要求的时间间隔内。宜执行和监测所有措施，避免非必要延迟。GB/T20985.1—XXXX/ISO/IEC27035-1:2023图3网络安全事件管理阶段图4展示了网络安全事件管理阶段及相关活动中的网络安全事态与事件流。GB/T20985.1—XXXX/ISO/IEC27035-1:2023图4网络安全事态和事件处理流程图6.2规划和准备有效的网络安全事件管理需要适当的规划和准备。在事件响应各阶段需保持冷静，控制并掌握响应时间。否则，事件持续时间延长可能会增加对组织的不利影响。该响应时间宜作为恢复时间目标（RTO）GB/T20985.1—XXXX/ISO/IEC27035-1:2023的一部分进行计算，并宜考虑发现、报告和评估所需的不可避免的延迟。要将一个有效率和效果的网络安全事件管理计划投入运行，组织宜完成一些准备活动，以支持ISMS的事件管理要求，包括：a)制定并文档化网络安全事件管理策略，并获得最高管理层的承诺，包括策略的目的、目标和范围、确定事件和确定事件优先级的类别和标准、组织结构和角色设置、事件管理的职责和权限、绩效措施、报告和联系形式；b)更新组织和系统、服务或网络各层面的网络安全策略，包括与风险管理相关的策略；c)制定并文档化详细的网络安全事件管理计划，包括事件处理、沟通和信息共享的流程和方法，以建立事件管理能力。组织宜：——定义网络安全事态/事件指标和迹象；——基于风险评估结果，列出组织希望能够控制的可能事态/事件，每个事态/事件后续可能发——制定事件报告的格式和内容，使得不论由谁填写表格，都能保持报告的一致性，这对吸取经验教训以及确定向管理层报告共同主题和趋势很重要；——定义/确定事件类别；——制定移交流程，以便在发生行政事件（如违反政策）成为犯罪事件（如欺诈）时移交执法部门；——文档化事件发布的评估流程；——确定与危机管理团队（BCP/DRP）双向交流的信息和责任；——建立事件管理小组，负责收集编制事件响应规划所需的所有技能；——建立决策/命令架构和紧急呼叫清单；——提供必要的内部和外部联系点（如法律机构）；——建立事件响应小组，其职责是响应和解决事件。可能存在几个具有特定技能的事件响应小组，以应对特定事件。详见GB/T20985.2第7.3节；d)确定事件响应小组及其职能和服务，并为其人员制定、开发和提供适当的培训方案。响应团队宜知道如何做，要使用哪些资源以及在哪些时间段中使用。需对人员进行培训，使其能够在压力下高效工作；e)建立并保持与直接参与网络安全事态、事件、威胁和漏洞管理的内部和外部组织的适当关系和联系，并向其传达组织关于网络安全事件管理的策略和规程；f)建立、实施和运行技术、组织和运行机制，以支持网络安全事件管理计划。开发和部署必要的信息系统以支持事件响应，包括网络安全事件登记。这些机制和系统旨在防止网络安全事件发生或降低网络安全事件发生的可能性；g)设计并制定网络安全事态、事件和漏洞管理的意识教育和培训计划；h)测试网络安全事件管理计划的使用情况及流程和规程。本阶段完成后，组织宜对网络安全事件的妥当管理做好了充分准备。GB/T20985.2第4章至第11章描述了上述各项活动，包括策略和规划文件的内容。6.3发现和报告网络安全事件管理的第二阶段包括通过人工或自动手段发现网络安全事态的发生和网络安全脆弱性的存在，收集相关信息并报告。在本阶段中，事态和脆弱性可能尚未被归为网络安全事件。可存在多种渠道向适当的联络点（PoC）通报安全事态。将ICT和技术型事态报告给ICT部门；但其他问题，如侵犯隐私，可能会向组织的其他部门提出。组织宜制定相关规程，将事态报告分发给事件协调员以统筹协调所有网络安全事件。事件协调员宜与业务的其他部门协调这些不同的输入。公安、医疗、GB/T20985.1—XXXX/ISO/IEC27035-1:2023消防和其他应急服务部门有时会是不同的电话号码。此外，沟通渠道可能是不同的，如电话、传真、蜂鸣器、电子邮件、ICT系统中的自动报警、信息推送通知、（操作员）仪表盘等。发现这类情况的实体并不一定是遭受其影响的实体（例如：安全人员发现入侵和办公室盗窃、邻居发现房屋火灾）。重要的是要考虑作为目标的或受影响的业务团队/实体的概念，即业务活动，更准确地说，包括业务活动执行人员/实体及其相关管理。根据组织的报告策略进行安全事态报告，便于在需要时开展后续分析。在发现和报告阶段，组织宜开展以下关键活动：a)由监控系统或监控团队进行监控（如观察摄像机图像），并适当地记录系统和网络活动；b)通过人工或自动方式，发现并报告网络安全事态或相关脆弱性和威胁；c)收集有关网络安全事态或相关脆弱性和威胁的信息；d)从内部和外部数据源收集态势感知信息，包括本地系统和网络流量和活动日志、可能影响事件活动的当前政治、社会或经济活动的新闻报道、事件趋势的外部报道、新型攻击向量、现有攻击指标以及新的缓解对策和技术；e)内外部威胁分析，以了解威胁环境并监测其变化；f)确定并涵盖威胁评估分析信息的可靠性和质量；g)根据现有和潜在威胁，定期分析脆弱性和攻击向量；h)确保正确记录所有发现活动和结果，用于后续分析；i)确保安全收集和存储数字证据，持续监控其保存安全情况，以备法律诉讼或内部纪律处分的证据之需。有关数字证据的识别、收集、获取和保存的更多详细信息见附录A；j)本阶段需要的时候，升级去做进一步的评审或决策。所有收集到的网络安全事态、事件或脆弱性相关信息宜存储在由事件响应小组管理的网络安全数据库中。在每项活动期间报告的信息宜尽可能做到当时是完整的，以支持评估、决策和所采取的行动，包括可能的后续分析。6.4评估和决策在网络安全事件管理的第三阶段对网络安全事态发生的相关信息进行评估，并判断是否将该事态归为网络安全事件。根据事态报告以及在规划和准备阶段确定的标准，事件协调员对事态进行评估并决定该事态是否为事件。一旦网络安全事态被发现和报告，宜进行以下后续活动：a)对参与评估、决策和行动的人员，包括安全和非安全人员，通过适当的层次结构来分配网络安全事件管理活动的责任。b)为每一个被通知的人员提供需遵从的正式规程，包括评审和修改报告、评估损害并通知相关人员。单个人的行动将取决于事件类型和严重性。c)按照指南对信息安全事态以及在被归为网络安全事件后的后续行动进行完整的文档化。d)评估事态是否为事件，关联事态是否再次发生，并从先前的行动和响应中获取数据。解决的类型和时间范围取决于基于在规划和准备阶段确定的因素做的决策。决策标准宜清晰和经过测试，考虑到技术、商业和人力方面。根据相关的内部文件，对所有的网络安全事件进行优先排序。e)必要时，通过已建立和已使用的渠道和方案与事件响应小组和业务管理层进行沟通。f)召集响应团队，以响应和解决在发现阶段识别的各种问题以及发现者/报告者提供的信息。g)收集目标或受影响团队的信息。h)启动响应计时器。GB/T20985.1—XXXX/ISO/IEC27035-1:2023i)快速决定事态是否为网络安全事件至关重要，因为这允许快速指派事件响应小组并设置“倒计时”过程，以确保事件在预期时间范围内得到解决。规划和准备阶段宜制定决策表。j)对于评估和决策阶段，组织宜进行如下关键活动：k)收集信息，包括测试、测量和检测网络安全事态的其他数据。收集的信息类型和数量取决于已发生的网络安全事态。l)事件协调者宜进行评估，以确定这个网络安全事态是属于网络安全事件还是仅为一次误报。误报（误判）说明该事态不会造成任何实际的或严重的后果。如果需要，由事件响应小组进行复核，以确保事件处理者的声明是准确的。m)记录所有活动、结果和相关决策，以便日后分析和记录保存。n)确保变更控制机制得到有效维护，以便覆盖网络安全事件追踪和事件报告更新，并保持网络安全数据库处于最新状态。所有收集到的网络安全事态、事件或脆弱性相关信息宜存储在由事件响应小组管理的网络安全数据库中。每项活动报告的信息宜尽可能全面，以支持评估、决策和所采取的活动。6.5响应网络安全事件管理的第四阶段按照评估和决策阶段所决定的行动响应网络安全事件。根据决策，宜立即、实时或接近实时做出响应，一些响应可能包括网络安全调查。事件协调者负责协调事件响应小组活动并监测响应计时器。各类事件均有特定响应。根据事件响应小组在启动期间发现的情况，事件响应可能采取各种/不同的恢复路径以及需要各种/不同的资源。网络安全事件协调者依据事件严重性定期更新，根据对发现事件做出响应或修复/恢复有缺陷、损坏或毁坏的资产（物理、材料、软件、流程、组织等），决定是否需要联系具有特定技能的其他团队。当响应事态而非事件时，通常在正常的业务流程中完成事态处置，因为不存在紧急情况或即时危险。事件协调者与事件的目标/受影响的团队/实体保持定期联系，共同决定该事件是否得到解决。这是为了进一步确保是否有足够的资源来重新开展业务活动。但这种情况可能需要更全面的解决方案，以全面恢复并重新使用其功能和操作。事件协调者准备事件报告，该报告宜包括：——情况分析；——确定问题及其原因（如可能）；——确定严重性和紧迫性以做出响应；——包含变更方案。注1：如果事件处置超出某名事件协调员的工作时间（例），响应流程需要以下方面：——清晰定义需要管理和控制的事件；——必要和所需资源清单；——待执行行动的详细时间顺序表，包括时间安排；——目标处置方案时限；——联络点和依据标准的信息渠道列表；——团队的技能和规模（开展必要/所需的培训）；——满足资源需求。一旦明确网络安全事件和响应，宜采取以下后续活动：GB/T20985.1—XXXX/ISO/IEC27035-1:2023a)确定一个适当的评估、决策与行动人员结构，包括必要的安全和非安全领域人员，分配网络安全事件管理活动相关责任。b)制定每位相关人员宜遵循的规程，包括审核和修改报告、评估损害并通知到相关人员。个体行动取决于事件类型和严重性。c)获取其他信息时，重新考虑初始评估，以确定是否需重新确定网络安全事件的优先级或调整响应活动。d)使用指南全面记录网络安全事件和后续事件措施。e)与目标/受影响的团队/实体一起评估提议的解决方案，以确保其符合解决标准和所有相关方预f)根据需要依据网络安全事件类别对应的规模级别，对网络安全事件进行调查。必要时对事件的规模进行变更。调查宜开展多种类型的分析，深度理解网络安全事件。g)事件响应小组核定网络安全事件是否在可控范围内，确认后立即响应。如果网络安全事件不在可控范围内或者将要对组织运行产生严重影响，宜升级到危机处理模式采取危机处理活动。事件升级会导致两种不同级别的行动：——在事态协调者的职责和权限内时（见6.2和6.3例如召集更多具有不同技能的响应团队，以响应所发现的情况（发生火灾时，紧急联络点呼叫救护车、警察和其他消防队）；——超出事件协调者权限时，事态协调者请求其他管理层支持。组织中其他部门参与情形，例如，产生财务影响时需要外部支持和财务部门授权。h)分配内部资源并明确外部资源，以响应事件。i)确保所有参与方，特别是事件响应小组，将所有活动都适当地记入日志，用于后续分析。j)确保安全地收集和保存数字证据，且是可被证明的，对保存状态的安全性进行持续监控，以防数据证据将来用于司法起诉或内部处罚过程。收集数字证据包括以下活动：——频繁更新关键利益相关者状态；——收集、记录并维护与事件相关的证据监管链；——将事件通报给监管机构（如适用）；——将事件结束详情更新到事件数据库；——遵循与网络安全事件相关的证据的保留和保存要求（可适用法律和法规要求）。注2：有关数字证据的识别、收集、获取和保存的更k)确保变更控制制度得到有效维护，覆盖网络安全事件追踪和事件报告更新，并保持网络安全事件数据库处于最新状态。l)遵循预先定义的沟通渠道和方式/或参与计划，该计划确定谁有权与不同的利益相关者进行沟通，依据组织和事件管理沟通规划和信息披露策略，将网络安全事件详情（例如威胁、攻击和漏洞信息）同步给其他内部和外部个人或组织。重要的是，通知在影响分析期间确定的资产所有者以及内外部组织（例如其他事件响应团队、执法机构、互联网服务提供商和信息共享组织），这些组织可以协助管理和解决事件。共享信息也可以使其他组织受益，因为相同的威胁和攻击通常会影响多个组织。m)从一个网络安全事件恢复后，宜根据该事件的属性和严重程度启动“事件后行动”，包括：——调查该事件相关信息；——调查其他相关因素，如涉及人员；——总结报告调查结果。n)一旦该网络安全事件已得到解决，宜按照事件响应小组和上级组织要求关闭该事件处理，并通知所有相关方。GB/T20985.1—XXXX/ISO/IEC27035-1:2023所有收集到的网络安全事态、事件或脆弱性相关信息宜存储在由事件响应小组管理的网络安全数据库中。在每项活动期间报告的信息宜尽可能全面，以支持评估、决策和所采取的活动，包括可能的后续分析。6.6经验总结网络安全事件管理的第五阶段始于网络安全事件已得到解决。这一阶段包括从如何处理事件、相关脆弱性和威胁等中汲取经验教训。经验教训可以来自一个或多个网络安全事件或报告的安全脆弱性。使用度量指标，有助于改进网络安全控制部署的组织策略。非常重要的是，吸取的经验教训宜与作出业务决策的网络安全管理变更能力关联，并在认为必要时将提出的变更纳入网络安全管理改进流程。事件报告宜指出导致不同行动的各种情况，并提交给网络安全管理改进过程。报告还宜基于经验教训改进网络安全事件管理计划及其文件。在经验总结阶段，组织宜进行以下关键活动review是翻译成评审还是审核）a)审核流程、规程、报告格式和组织结构，对于网络安全事件响应、评估和恢复以及网络安全脆弱性的处理是否有效；b)识别、文档化并沟通从网络安全事件、相关脆弱性和威胁中吸取的经验教训；c)审核、识别并改进网络安全控制措施（包括新提出的或更新的控制措施）的实施，以及网络安全事件管理策略；d)审核、识别并改进组织当前的网络安全风险评估和管理审核；e)根据组织意愿，在一个可信的团体中，沟通并共享评审结果；f)决定事件信息、相关攻击向量和脆弱性是否可共享给合作伙伴组织，以为防止相同事件在他们的环境中重演提供帮助；g)对事件响应小组表现和有效性进行周期性的综合评估。需要强调的是，网络安全事件管理活动是迭代的，因此组织宜随时间推移定期改进组织中一些网络安全要素。这些改进宜基于对有关网络安全事件、响应和报告的网络安全脆弱性的信息进行评审而提出。附录D提供了事件调查期间发现的情况的注意事项。GB/T20985.2第12章详述了上述各项活动。GB/T20985.1—XXXX/ISO/IEC27035-1:2023（规范性）与调查标准的关系本文件描述了综合调查过程的一部分，该过程包括但不限于以下标准的应用：——ISO/IEC27037ISO/IEC27037描述了调查早期阶段（包括初始响应阶段）的参与人员如何确保获取足够的潜在电子证据，从而妥善推进调查过程的方法。——ISO/IEC27038有些文档包含不宜向某些团体披露的信息。在对原始文档做了适当处理后，经过修改的文档方可发布给这些团体。删除不应被披露的信息的过程称为“涂抹”。文档的数字化涂抹是文档管理实践中一个相对较新的领域，引发了独特的问题和潜在的风险。数字文档经过涂抹后，被删除的信息不宜是可恢复的。因此，应注意将修改后的信息从数字文档中永久删除（例如，不宜将其简单地隐藏在文档的不可显示部分中）。ISO/IEC27038规定了电子文档的数字化涂抹方法，还规定了可用于涂抹的软件的要求。——ISO/IEC27040ISO/IEC27040提供了详细的技术指导，说明组织如何通过采用经充分验证且始终如一的方法来规划、设计、记录和实施数据存储安全，从而划定适当的风险缓解水平。存储安全适用于存储信息的保护（安全）以及通过与存储相关的通信链路传输的信息的安全。存储安全包括设备和介质的安全、与设备和介质相关的管理活动的安全、应用程序和服务的安全，以及设备和介质使用周期内和使用结束后与最终用户相关的安全。诸如加密和清理等使用了混淆的安全机制会影响人员的调查能力，在调查之前和调查期间宜纳入考量，但这些安全机制对于确保调查期间和调查之后证据材料得以充分准备和保护也很重要。——ISO/IEC27041调查过程中使用的方法和程序具有可证实的适宜性也很重要。ISO/IEC27041提供了关于如何确保调查方法和程序满足调查要求及如何对调查方法和程序进行适宜性测试的指引。——ISO/IEC27042本文件描述了如何设计和实施调查过程中使用的方法和程序，以正确评价潜在的电子证据、解释电子证据并有效地报告调查结果。——ISO/IEC27043本文件定义了事件调查中关键的通用原则和过程，并为调查的所有阶段提供了框架模型。——GB/T43577（ISO/IEC27050）系列GB/T43577系列涉及电子发现活动，包括但不限于电子存储信息(ESI)的识别、保全、收集、处理、审查、分析和产出。此外，还为组织在面临电子发现问题时，从最初创建ESI到最终处置ESI各阶段，为降低风险和费用支出所采取的措施提供了指引。不论参与部分还是全部电子发现活动，也不论是否为技术人员，均与之相关。电子发现通常作为调查以及证据获取和处理活动的驱动因素。此外，数据的敏感性和重要性有时需要采取像存储安全这样的保护措施来防范数据泄露。——ISO/IEC30121ISO/IEC30121为组织的管理层（包括所有者、董事会成员、董事、合伙人、高级管理人员及类似人员）提供了一个框架，以说明在数字调查发生之前组织做好应对准备的最佳方案。ISO/IEC30121适用于数字证据披露中与保留、可用性、访问和成本效益等因素相关的战略流程（和决策）的制定，也适GB/T20985.1—XXXX/ISO/IEC27035-1:2023用于所有类型和规模的组织，其内容是组织应对数字化调查的审慎战略准备。取证就绪确保组织为接受具有证据属性的潜在事态做好了适当的、相关的战略准备，可在出现无法避免的安全违规、欺诈和名誉侵权时采取行动。宜在所有场景下战略性地利用信息技术(IT)，最大限度地增强证据的可用性、可访问性和成本效益。图A.1展示了围绕事件及事件调查开展的典型活动。图中以文件编号（例如ISO/IEC27037）代表上述文件，阴影条显示每个文件最可能直接适用或对调查过程有一定影响（例如制定政策或产生约束）的阶段。尽管如此，建议在规划和准备阶段开始前和进行中参考上述所有文件。图中所示的各个过程类均在ISO/IEC27043中给出了定义，与之匹配的各项活动在ISO/IEC27035-2、ISO/IEC27037、ISO/IEC27042和ISO/IEC27041中有更为详细的论述。图A.1调查过程类和活动相关标准的适用性GB/T20985.1—XXXX/ISO/IEC27035-1:2023GB/T20985.1—XXXX/ISO/IEC27035-1:2023（资料性）网络安全事件及其起因示例B.1事件类型B.1.1概述GB/T20985系列所涵盖的事态和事件与信息和ICT安全息息相关。这些事态和事件的发生，源于不完善的风险管理，以及在攻击者目的和能力不断演进背景下，人员、流程、技术的持续发展而带来的相关脆弱性。事件管理应涵盖以下领域内所有潜在的事态/事件情况。B.1.2机密性信息泄漏可能会对组织产生直接影响，泄露的信息落入非法入侵者或犯罪分子手中，可能造成无法挽回的损失。因此，应“关门”（即阻断泄露，修复缺陷），并通过确定发生泄漏的位置及其原因来防止未来可能发生的违规行为。B.1.3完整性在信息发布和/或使用之前，宜检测或校正完整性事件（非授权的修改）。有必要通过确定原因进行预防。B.1.4可用性信息不可用性（不可访问、无法使用、被删除或消失的信息）可能会对服务级别协议（SLA）和RPO产生相关影响。在业务影响变得不可接受之前，应找到并恢复这些信息。示例：应在规定日期提交财政部门的完整财务报告未能如期完成。B.1.5访问控制未经授权的访问会导致系统受损、资源被盗和信息泄露。应通过识别潜在暴露点和原因，以及在适用情况下，检查访问控制许可（授权、身份验证、角色、特权、网络访问等）来防止事件的再次发生。B.1.6漏洞技术、人员或程序漏洞，如访问权限分配不当，可能会被成功利用。漏洞示例包括：——未打补丁的服务器、计算机或软件（未及时更新）；——对重要资产（信息、设备、房间）的保护不足。B.1.7技术故障技术故障导致ICT或物理设备无法运行或使用。这会造成漏洞或对SLA和RTO的潜在破坏。B.1.8设备被盗或丢失含有信息的设备被盗和丢失，应视为可用性和/或机密性事件。GB/T20985.1—XXXX/ISO/IEC27035-1:2023B.2攻击B.2.1拒绝服务拒绝服务(DoS)和分布式拒绝服务(DDoS)是一类具有共同特征的事件。这类事件导致系统、服务或网络无法继续按其预期能力运行，通常会完全拒绝合法用户的访问。由技术手段引起的DoS/DDoS事件主要有两种类型：资源耗尽和资源匮乏。蓄意的技术性DoS/DDoS事件的典型例子包括：——向网络广播地址或其他服务伪造流量（如ping），试图超出目标组织的网络带宽；——以非预期格式向系统、服务或网络发送数据，试图使其崩溃或破坏其正常运行；——与特定系统、服务或网络开启多个授权会话，以试图耗尽其资源（即，使其运行速度变慢、锁定或崩溃）。这种攻击经常通过僵尸主机来进行，即一个运行了受僵尸网络控制的恶意软件的计算机系统。僵尸网络是一个由黑客管理的受集中指令控制的僵尸主机组成的网络。僵尸网络的规模可涵盖数百到数百万台受感染的计算机。某些技术型DoS事件可能是意外造成的，例如，操作员的错误配置或应用软件的不兼容，但多数时候是故意的。某些技术型DoS事件是故意发起的，目的在于导致系统、服务或网络崩溃，而其他则仅是那些恶意活动的副产物。例如，某些较常见的隐蔽扫描和识别技术可能会导致旧的或错误配置的系统或服务在扫描时崩溃。值得注意的是，许多故意的技术型DoS事件往往是匿名执行的（即攻击源是“伪造的”），因为它们通常不需要攻击者从受攻击的网络或系统接收任何反馈信息。非技术手段导致的DoS事件，会造成信息、服务和/或设施损失，可能由以下情况引起：——违反物理安全规定，造成设备的失窃或故意损坏和破坏；——由火灾或水灾导致的对硬件（和/或其位置）的意外损坏；——极端的环境条件，例如，高运行温度（如因空调故障）；——系统故障或过载；——不受控的系统变更；——软件或硬件故障。B.2.2未经授权的访问通常，此类事件包括实际发生的未授权访问或滥用系统、服务或网络的尝试。采用技术手段导致未授权访问事件的一些示例包括：——尝试检索密码文件；——试图利用缓冲区溢出攻击获得对目标的特权（如系统管理员）访问；——利用协议漏洞劫持或误导合法网络连接；——试图提升用户或管理员已经合法拥有的资源或信息的特权；——域名注册商或托管服务提供商层面的损害，导致组织失去对其域名组合、电子邮件服务或网站运营或内容的控制。非技术手段导致的未经授权访问事件，会造成直接或间接披露或篡改信息、违反问责制或滥用信息系统，可能由以下情况引起：——违反物理安全协议，导致信息被未经授权访问；——由于不受控的系统变更或软件或硬件故障而导致的操作系统配置不当和/或错误配置；——恶意内部人员，例如利用其访问组织信息资产谋取个人利益的人员。B.2.3恶意软件GB/T20985.1—XXXX/ISO/IEC27035-1:2023恶意软件是插入到另一个程序中的程序或程序的一部分，目的是修改其原始行为，通常用于执行恶意活动，如信息和身份盗窃、信息和资源破坏、拒绝服务、垃圾邮件等。恶意软件攻击可分为五类：病毒、蠕虫、特洛伊木马、移动代码和混合型恶意软件。虽然病毒是针对任何易受攻击的受感染系统而创建的，但其他恶意软件也被用于执行有针对性的攻击。这有时是通过修改现有恶意软件并创建出一个通常不会被恶意软件检测技术识别的变种来实现。B.2.4滥用当用户违反组织的信息系统安全策略时，会发生此类事件。此类事件并非严格意义上的攻击，但通常报告为事件，应由事件响应小组处理。不当使用可能包括：——下载并安装黑客工具；——使用公司电子邮件发送垃圾邮件或推广个人业务；——使用公司资源建立未经授权的网站；——使用点对点活动获取或分发盗版文件（音乐、视频、软件）；——滥用物理或逻辑访问权限窃取信息以谋取个人利益；——滥用特权/职位获取信息并向其他方泄露。B.3信息收集一般而言，事件的信息收集类别包括与识别潜在目标和了解在这些目标上运行的服务相关的活动。此类事件涉及侦察，目的是确定：——目标的存在，以及了解网络物理或逻辑拓扑（例如周围的信息技术网络、设施、组织结构以及目标公司的日常沟通对象；——目标或其直接环境中可能被利用的潜在漏洞。通过技术手段收集信息的典型实例包括：—侦察和识别受害者的在线基础设施，已知域名或IP地址，或通过分析被动DNS信息；—ping网络地址以查找“活动”的系统；—探测系统以识别（例如指纹）主机操作系统；—扫描系统上的可用网络端口以识别网络服务[例如电子邮件、文件传输协议(FTP)、Web等]以及这些服务的软件版本；—在网络地址范围内扫描一个或多个已知易受攻击的服务（水平扫描）。在某些情况下，技术信息收集会延伸到未经授权的访问，例如，作为漏洞搜索的一部分，攻击者还试图获得未经授权的访问。这通常发生在自动工具中，这些工具不仅搜索漏洞，而且还自动尝试利用找到的易受攻击的系统、服务和/或网络。非技术手段导致的信息收集事件，导致：——直接或间接披露或修改信息；——盗窃以电子方式存储的知识产权；——违反责任，如账户记录；——滥用信息系统（如违反法律或组织政策）。信息收集事件可能由以下原因引起：——违反物理安全安排，导致未经授权访问信息，以及包含重要数据（例如加密密钥）的数据存储设备被盗；——由于不受控的系统变更或软件或硬件故障而导致的操作系统配置不当和/或错误，导致内部或外部人员获得其无权访问的信息；——社会工程，即操纵他人执行行为或泄露机密信息的行为，例如网络钓鱼、在电话中冒充他人；——尾随进入限制区域；GB/T20985.1—XXXX/ISO/IEC27035-1:2023——倾听对话；——观察偷看/对公开文件失察；——搜索回收站或废弃媒体；—