ICS35040

L80.

中華人民共和國國家標準

GB/T209852—2020

.

信息技術安全技術信息安全事件管理

第2部分事件響應規(guī)劃和準備指南

:

Informationtechnology—Securitytechniques—Informationsecurityincident

manaement—Part2Guidelinestolanandreareforincidentresonse

g:pppp

(ISO/IEC27035-2:2016,MOD)

2020-12-14發(fā)布2021-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T209852—2020

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

信息安全事件管理策略

4…………………2

概述

4.1…………………2

相關方

4.2………………3

信息安全事件管理策略內容

4.3………………………3

信息安全策略更新

5………………………4

概述

5.1…………………4

策略文檔的關聯

5.2……………………5

制定信息安全事件管理計劃

6……………5

概述

6.1…………………5

基于共識建立信息安全事件管理計劃

6.2……………5

參與方

6.3………………6

信息安全事件管理計劃內容

6.4………………………6

事件分級標度

6.5………………………9

事件表單

6.6……………9

過程和規(guī)程

6.7…………………………9

信任和信心

6.8…………………………10

保密或敏感信息處理

6.9………………10

建立事件響應小組

7………………………10

概述

7.1…………………10

事件響應小組類型和角色

7.2…………11

事件響應小組人員

7.3…………………12

建立與其他組織的關系

8…………………14

概述

8.1…………………14

與組織其他部門的關系

8.2……………14

與外部利益相關方的關系

8.3…………15

明確技術和其他支持

9……………………16

概述

9.1…………………16

技術支持示例

9.2………………………17

Ⅰ

GB/T209852—2020

.

其他支持示例

9.3………………………17

建立信息安全事件意識和培訓

10………………………17

測試信息安全事件管理計劃

11…………18

概述

11.1………………18

演練

11.2………………18

事件響應能力監(jiān)測

11.3………………19

經驗總結

12………………20

概述

12.1………………20

識別經驗教訓

12.2……………………20

識別并實施信息安全控制措施的改進

12.3…………21

識別并實施信息安全風險評估和管理評審結果的改進

12.4………21

識別并實施信息安全事件管理計劃的改進

12.5……………………21

事件響應小組評價

12.6………………22

其他改進

12.7…………………………22

附錄資料性附錄法律法規(guī)方面

A()……………………23

附錄資料性附錄信息安全事態(tài)事件和脆弱性報告及表單示例

B()、………………25

附錄資料性附錄信息安全事態(tài)和事件分類分級方法示例

C()………36

參考文獻

……………………45

Ⅱ

GB/T209852—2020

.

前言

信息技術安全技術信息安全事件管理分為以下部分

GB/T20985《》:

第部分事件管理原理

———1:;

第部分事件響應規(guī)劃和準備指南

———2:。

本部分為的第部分

GB/T209852。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分使用重新起草法修改采用信息技術安全技術信息安全事件管

ISO/IEC27035-2:2016《

理第部分事件響應規(guī)劃和準備指南

2:》。

本部分與的技術性差異及其原因如下

ISO/IEC27035-2:2016:

關于規(guī)范性引用文件本部分做了具有技術性差異的調整以適應我國的技術條件調整的情

———,,,

況集中反映在第章規(guī)范性引用文件中具體調整如下

2“”,:

用等同采用國際標準的代替了

●GB/T29246—2017ISO/IEC27000。

范圍一章增加了經驗總結階段的用途和要點見第章

———“”(1)。

本部分還做了下列編輯性修改

:

補充了縮略語和見

———“ICT”“UTC”(3.2);

增加了資料性引用文件見的注和的注

———GB/Z20986—2007(6.46.5);

將中的腳注改為注見

———B.3.2(B.3.2);

補充了參考文獻和見參考文獻

———ISO22301ISO22313()。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位中電長城網際系統應用有限公司中電數據服務有限公司中國電子技術標準化

:、、

研究院國家計算機網絡應急技術處理協調中心北京奇虎科技有限公司公安部第三研究所國家信息

、、、、

中心西安丁度網絡科技有限公司陜西省網絡與信息安全測評中心北京江南天安科技有限公司

、、、。

本部分主要起草人閔京華周亞超王惠蒞上官曉麗舒敏陳悅張屹王艷輝陳長松杜佳穎

:、、、、、、、、、、

劉蓓李怡魏玉峰陳冠直

、、、。

Ⅲ

GB/T209852—2020

.

引言

屬于信息安全管理體系系列標準的延伸聚焦于信息安全事件管理

GB/T20985(ISMS),,

將其確定為信息安全管理體系的關鍵成功因素之一

GB/T22080—2016。

組織的事件計劃與該組織確信已做好事件準備之間可能存在很大差距因此的本

。,GB/T20985

部分提供指南以增強組織對信息安全事件響應做好實際準備的信心為此本部分關注于事件管理相

,。,

關的策略和計劃以及如何建立事件響應小組并通過經驗總結和評價不斷改進其成效

,。

Ⅳ

GB/T209852—2020

.

信息技術安全技術信息安全事件管理

第2部分事件響應規(guī)劃和準備指南

:

1范圍

的本部分基于中給出的信息安全事件管理階段模型的規(guī)劃

GB/T20985GB/T20985.1—2017“”“

和準備階段和經驗總結階段給出了規(guī)劃和準備事件響應以及事后總結經驗和改進的指南

”“”,。

規(guī)劃和準備階段的要點包括

“”:

信息安全事件管理策略和最高管理者的承諾

———;

在公司層面以及系統服務和網絡層面都要更新的信息安全策略其中包括與風險管理相關的

———、,

信息安全策略

;

信息安全事件管理計劃

———;

事件響應小組的建立

———(IRT);

建立與內部和外部組織的關系和聯絡

———;

技術及其他方面包括組織和運行方面的支持

———();

信息安全事件管理的意識教育和培訓

———;

信息安全事件管理計劃的測試

———。

經驗總結階段的要點包括

“”:

經驗教訓的總結

———;

信息安全的總結和改進

———;

信息安全風險評估和管理評審結果的總結和改進

———;

信息安全事件管理計劃的總結和改