1GB/T20985.1—XXXX/ISO/IEC27035-1:2023網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全事件管理第1部分：原理和過程本文件提出了網(wǎng)絡(luò)安全事件管理關(guān)鍵活動的基本概念、原理和過程，提供了結(jié)構(gòu)化的方法來準(zhǔn)備、發(fā)現(xiàn)、報告、評估和響應(yīng)事件并進行經(jīng)驗總結(jié)。本文件中關(guān)于網(wǎng)絡(luò)安全事件管理過程及其關(guān)鍵活動的指南是通用的，適用于任何類型、規(guī)?；蛐再|(zhì)的組織，組織可根據(jù)其類型、規(guī)模和與網(wǎng)絡(luò)安全風(fēng)險情況相關(guān)的業(yè)務(wù)特性調(diào)整指南。本文件也適用于提供網(wǎng)絡(luò)安全事件管理服務(wù)的外部組織。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T29246—2023信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯3術(shù)語和定義GB/T29246—2023中界定的以及下列術(shù)語和定義適用于本文件。3.1事件管理小組incidentmanagementteam由組織中具備適當(dāng)技能且可信的成員組成的團隊，負(fù)責(zé)牽頭管理所有網(wǎng)絡(luò)安全事件管理活動，并在整個事件生存周期內(nèi)與內(nèi)部和外部相關(guān)方協(xié)調(diào)。注：該團隊的負(fù)責(zé)人可稱為事件管理者，由最高管理層任命，以充3.2事件響應(yīng)小組incidentresponseteamIRT由組織中具備適當(dāng)技能且可信的成員組成的團隊，以協(xié)調(diào)的方式響應(yīng)和處理事件。3.3事件協(xié)調(diào)員incidentcoordinator負(fù)責(zé)牽頭處理所有事件響應(yīng)（3.9），并協(xié)調(diào)事件響應(yīng)小組（3.2）的人員。2GB/T20985.1—XXXX/ISO/IEC27035-1:20233.4網(wǎng)絡(luò)安全事態(tài)cybersecurityevent表明一次可能的網(wǎng)絡(luò)安全違規(guī)或某些控制失效的發(fā)生。3.5網(wǎng)絡(luò)安全事件cybersecurityincident與可能危害組織資產(chǎn)或損害其運行相關(guān)的、單個或多個被識別的網(wǎng)絡(luò)安全事態(tài)(3.4)。3.6網(wǎng)絡(luò)安全事件管理cybersecurityincidentmanagement采用一致和有效方法處理網(wǎng)絡(luò)安全事件(3.5)的行為。3.7網(wǎng)絡(luò)安全調(diào)查cybersecurityinvestigation使用檢查、分析和解釋等多種方法，以幫助理解網(wǎng)絡(luò)安全事件（3.5）。[來源：ISO/IEC27042:2015,3.10,有修改]3.8事件處理incidenthandling發(fā)現(xiàn)、報告、評估、響應(yīng)和處理網(wǎng)絡(luò)安全事件（3.5），并從中汲取經(jīng)驗教訓(xùn)的行動。3.9事件響應(yīng)incidentresponse為緩解或解決網(wǎng)絡(luò)安全事件（3.5）而采取的行動，包括為保護信息系統(tǒng)及其存儲的信息并將其恢復(fù)至正常運行狀態(tài)而采取的行動。3.10聯(lián)系點pointofcontactPoC被定義為事件管理活動的協(xié)調(diào)者或信息聚焦點的組織功能或角色。4縮略語下列縮略語適用于本文件。BCP：業(yè)務(wù)連續(xù)性規(guī)劃（businesscontinuityplanning）CERT：計算機應(yīng)急響應(yīng)小組（computeremergencyresponseteam）CSIRT：計算機安全事件響應(yīng)小組（computersecurityincidentresponseteam）DRP：災(zāi)難恢復(fù)計劃（disasterrecoveryplanning）ICT：信息和通信技術(shù)（informationandcommunicationstechnology）ISMS：信息安全管理體系（informationsecuritymanagementsystem）PoC：聯(lián)系點（pointofcontact）RPO：恢復(fù)點目標(biāo)（recoverypointobjective）GB/T20985.1—XXXX/ISO/IEC27035-1:20233RTO：恢復(fù)時間目標(biāo)（recoverytimeobjective）5概述5.1基本概念發(fā)生網(wǎng)絡(luò)安全事態(tài)和事件的原因有多種：——技術(shù)/工藝、組織或物理脆弱性（部分原因是由于未完全實施已確定的控制措施）可能被利用，因為不可能完全消除暴露或風(fēng)險；——人為錯誤；——技術(shù)失效；——未完整實施風(fēng)險評估，忽略了風(fēng)險；——風(fēng)險處理未充分覆蓋風(fēng)險；——環(huán)境變化（內(nèi)部和/或外部），導(dǎo)致新風(fēng)險存在或部分已處理的風(fēng)險再次出現(xiàn)。網(wǎng)絡(luò)安全事態(tài)的發(fā)生并不意味著攻擊成功或存在保密性、完整性或可用性問題，也就是說，并非所有網(wǎng)絡(luò)安全事態(tài)都屬于網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)安全事件可能是故意的（例如：由惡意軟件或故意違紀(jì)造成的）或意外的（例如：由意外的人為錯誤或不可避免的自然行為造成的），可能是由技術(shù)手段（例如：計算機病毒)或非技術(shù)手段（例如：計算機丟失或被盜）造成的。其后果包括信息未經(jīng)授權(quán)的泄露、修改、破壞或不可用，或者組織信息資產(chǎn)的損壞或被盜。附錄B是資料性附錄，它選擇了一些網(wǎng)絡(luò)安全事件及其起因的示例進行描述。需要注意的是這些示例并不是全部。在信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)中威脅利用脆弱性（弱點信息資產(chǎn)所暴露的脆弱性引起網(wǎng)絡(luò)安全事態(tài)的發(fā)生并因此可能導(dǎo)致事件。圖1給出了網(wǎng)絡(luò)安全事件中對象的關(guān)系。圖1網(wǎng)絡(luò)安全事件中各對象之間的關(guān)系協(xié)調(diào)是網(wǎng)絡(luò)安全事件管理的一個重要方面。許多事件跨越組織邊界，無法由發(fā)現(xiàn)事件的單個組織或組織中的單個部門來處理。組織宜致力于總體事件管理目標(biāo)。對于多個組織協(xié)作處理網(wǎng)絡(luò)安全事件，需要在整個事件管理流程中進行事件管理協(xié)調(diào)，例如CERT和CSIRT。信息共享對于事件管理協(xié)調(diào)是必要的，不同的組織可以相互共享威脅、攻擊和漏洞信息，以便其他組織可從組織的知識中獲益。組織宜保護信息共享和溝通過程中的敏感信息，詳見ISO/IEC27010。應(yīng)在規(guī)定的時間范圍內(nèi)解決網(wǎng)絡(luò)安全事件，以避免不可接受的損害或?qū)е碌臑?zāi)難。在發(fā)生事態(tài)、脆弱性或不合規(guī)的情況下，解決方案有延遲也是可以接受的。GB/T20985.1—XXXX/ISO/IEC27035-1:202345.2事件管理目標(biāo)作為一個組織整體網(wǎng)絡(luò)安全戰(zhàn)略的關(guān)鍵部分，組織宜部署控制和規(guī)程來促使一種結(jié)構(gòu)嚴(yán)謹(jǐn)、計劃周全的方法進行網(wǎng)絡(luò)安全事件管理。從組織的角度，其主要目標(biāo)是避免或遏制網(wǎng)絡(luò)安全事件的影響，以盡可能減少事件對其運行的直接或間接損害。由于損害信息資產(chǎn)會給運行帶來負(fù)面影響，運行和業(yè)務(wù)的視角對于決定更加具體的網(wǎng)絡(luò)安全管理目標(biāo)會有重要影響。結(jié)構(gòu)嚴(yán)謹(jǐn)、計劃周全的事件管理方法的更加具體目標(biāo)宜包括：a)發(fā)現(xiàn)并有效處理網(wǎng)絡(luò)安全事態(tài)，尤其是確定什么時候它們被歸為網(wǎng)絡(luò)安全事件；b)在預(yù)定時間范圍內(nèi)，以最恰當(dāng)和有效的方式，對已識別的網(wǎng)絡(luò)安全事件進行評估和響應(yīng)；c)作為事件響應(yīng)的一部分，通過恰當(dāng)?shù)目刂票M可能減少網(wǎng)絡(luò)安全事件對組織及其運行的負(fù)面影d)建立在事件升級過程中與危機管理和業(yè)務(wù)連續(xù)性管理的相關(guān)要素的關(guān)聯(lián)。當(dāng)情況需要時，需要迅速將責(zé)任和行動從事件管理轉(zhuǎn)移到危機管理，一旦危機得到解決，就立即撤銷這一命令，以便徹底解決事件；e)評估并適當(dāng)處理網(wǎng)絡(luò)安全脆弱性，以防止或減少事件。根據(jù)職責(zé)分配，評估可由事件響應(yīng)小組或組織內(nèi)其他團隊完成；f)及時從網(wǎng)絡(luò)安全事件、脆弱性及其管理中汲取經(jīng)驗教訓(xùn)。這種反饋機制旨在進一步防止網(wǎng)絡(luò)安全事件未來發(fā)生的可能，改進信息安全控制的實施和使用，并整體改進網(wǎng)絡(luò)安全事件管理方案。為實現(xiàn)上述目標(biāo)，組織宜確保網(wǎng)絡(luò)安全事件以一致的方式被記錄，并使用適當(dāng)?shù)臉?biāo)準(zhǔn)對事件進行分類、分級和共享，以便經(jīng)過一段時間后能夠從聚合的數(shù)據(jù)中提取指標(biāo)。這將為信息安全控制投入的策略決策過程提供有價值的信息。網(wǎng)絡(luò)安全事件管理系統(tǒng)宜能與內(nèi)外部相關(guān)方共享信息。本文件的另一個目標(biāo)是，為致力于滿足GB/T22080中規(guī)定的信息安全管理體系（ISMS）要求的組織提供指導(dǎo)，這些要求得到GB/T22081指南的支持。GB/T22080包括與信息安全事件管理相關(guān)的要求。表C.1給出了GB/T22080中信息安全事件管理條款與本文件條款之間的對照表。圖2也展示了與ISMS的關(guān)系。本文件還支持ISMS以外的信息安全管理體系提出的要求。圖2網(wǎng)絡(luò)安全事件管理與ISMS和應(yīng)用的控制之間的關(guān)系5.3結(jié)構(gòu)化方法的益處使用結(jié)構(gòu)化方法進行網(wǎng)絡(luò)安全事件管理能產(chǎn)生顯著效益，可歸納為如下方面：GB/T20985.1—XXXX/ISO/IEC27035-1:20235a)改進整體安全發(fā)現(xiàn)、報告、評估和決策網(wǎng)絡(luò)安全事態(tài)和事件的結(jié)構(gòu)化過程能促使快速識別和響應(yīng)。這將有助于快速識別和實施一致的解決方案，并因此提供防止將來類似的網(wǎng)絡(luò)安全事件再次發(fā)生的手段，從而提高整體安全性。此外，指標(biāo)、共享和聚合也帶來益處。組織的公信力將通過證明其對網(wǎng)絡(luò)安全事件管理最佳實踐的實現(xiàn)得到提升。b)降低對業(yè)務(wù)的負(fù)面影響結(jié)構(gòu)化的網(wǎng)絡(luò)安全事件管理方法有助于降低對業(yè)務(wù)潛在負(fù)面影響的程度。這些影響包括直接經(jīng)濟損失和由于聲譽與公信力受損而造成的長期損失。有關(guān)業(yè)務(wù)影響分析指南見GB/T31722。有關(guān)業(yè)務(wù)持續(xù)性的信息與通信技術(shù)就緒指南見ISO/IEC27031。c)強化對網(wǎng)絡(luò)安全事件的預(yù)防采用結(jié)構(gòu)化的網(wǎng)絡(luò)安全事件管理有助于在組織內(nèi)創(chuàng)造一個以事件預(yù)防為重點的氛圍，包括識別新的威脅和脆弱性的方法開發(fā)。對事件相關(guān)數(shù)據(jù)的分析能夠識別事件的模式和趨勢，從而幫助更準(zhǔn)確地聚焦事件預(yù)防，并識別適當(dāng)措施以防止事件再次發(fā)生。d)改進優(yōu)先級結(jié)構(gòu)化的網(wǎng)絡(luò)安全事件管理方法為網(wǎng)絡(luò)安全事件調(diào)查時優(yōu)先級的確定提供可靠基礎(chǔ)，包括使用有效的分類和分級方法。如果沒有清晰的規(guī)程，會存在調(diào)查活動可能采取過度反應(yīng)模式的風(fēng)險，即當(dāng)事件發(fā)生時才響應(yīng)并忽視了具有更高優(yōu)先級的活動。e)支持證據(jù)收集和調(diào)查必要時，清晰的事件調(diào)查規(guī)程有助于確保數(shù)據(jù)的收集和處理是證據(jù)充分的、法律允許的。如果隨后要進行法律訴訟或紀(jì)律處分的話，這些是重點考慮事項。有關(guān)更多的數(shù)字證據(jù)和調(diào)查信息，見附錄A中列出的調(diào)查類標(biāo)準(zhǔn)。f)有助于對預(yù)算和資源的論證定義明確且結(jié)構(gòu)化的網(wǎng)絡(luò)安全事件管理方法，有助于正確判斷和簡化所涉及組織部門的預(yù)算和資源分配。此外，對網(wǎng)絡(luò)安全事件管理計劃自身的益處將顯現(xiàn)在更好的人員和資源分配計劃上。例如：一種控制并優(yōu)化預(yù)算和資源的方式是給網(wǎng)絡(luò)安全事件管理任務(wù)加“時間戳”，來幫助定量評估組織的網(wǎng)絡(luò)安全事件處理。它可以提供信息來說明解決不同優(yōu)先級和不同平臺上的事件需要多長時間。如果網(wǎng)絡(luò)安全事件管理過程中存在瓶頸，也應(yīng)該是可識別的。g)改進信息安全風(fēng)險評估和管理結(jié)果的更新使用結(jié)構(gòu)化的網(wǎng)絡(luò)安全事件管理方法有助于：——收集更好的數(shù)據(jù)來幫助識別和確定各種威脅類型及相關(guān)脆弱性的特征；——提供有關(guān)已識別威脅類型的發(fā)生頻率的數(shù)據(jù)，以幫助分析控制效力（即，識別失效并導(dǎo)致違規(guī)的控制，加強此類控制以減少再次發(fā)生）。從網(wǎng)絡(luò)安全事件中獲取的有關(guān)對業(yè)務(wù)運行造成負(fù)面影響的數(shù)據(jù)，對于業(yè)務(wù)影響分析十分有用。識別各種威脅類型發(fā)生頻率所獲取的數(shù)據(jù)，有助于提高威脅評估的質(zhì)量。同樣，有關(guān)脆弱性的數(shù)據(jù)，有助于提高未來脆弱性評估的質(zhì)量。有關(guān)信息安全風(fēng)險評估與管理指南見GB/T31722。h)提供增強的網(wǎng)絡(luò)安全意識和培訓(xùn)教材結(jié)構(gòu)化的網(wǎng)絡(luò)安全事件管理方法使組織能夠收集它如何處理事件的經(jīng)驗和知識，這將為網(wǎng)絡(luò)安全意識教育課程提供有價值的資料。含有實際經(jīng)驗總結(jié)的網(wǎng)絡(luò)安全意識教育課程，有助于減少在未來網(wǎng)絡(luò)安全事件中的錯誤或困惑。i)為信息安全策略及相關(guān)文件評審提供輸入網(wǎng)絡(luò)安全事件管理計劃所提供的數(shù)據(jù)能為事件管理安全策略（以及其他相關(guān)信息安全文件）的有效性評審及隨后的改進提供有價值的輸入。這可應(yīng)用在既適用于整個組織又適用于單個系統(tǒng)、服務(wù)和網(wǎng)絡(luò)的主題特定策略及其他文件。GB/T20985.1—XXXX/ISO/IEC27035-1:202365.4適應(yīng)性GB/T20985系列所提供的指南內(nèi)容豐富，如果全部實施，將占用大量的運行和管理資源。因此，重要的是組織在應(yīng)用GB/T20985時宜保持一種整體觀，并確保用于網(wǎng)絡(luò)安全事件管理的資源和機制復(fù)雜度與以下方面相稱：a)組織的規(guī)模、結(jié)構(gòu)和業(yè)務(wù)性質(zhì)，包括宜得到保護的關(guān)鍵資產(chǎn)、過程和數(shù)據(jù)；b)任何用于事件處理的信息安全管理體系的范圍；c)事件的潛在風(fēng)險；d)業(yè)務(wù)目標(biāo)。因此，組織在使用本文件時宜以一種與其業(yè)務(wù)規(guī)模和特點相適應(yīng)的方式采用本部分給出的指南。5.5能力5.5.1概述網(wǎng)絡(luò)安全事件可能危及業(yè)務(wù)目標(biāo)的實現(xiàn)并產(chǎn)生危機。風(fēng)險評估后，可能為兩種情況。一種為可能性從中到高和后果從低到中的情況，另一種為可能性（非常）低和后果非常高的情況。后一種情況是指并非總是能夠完全預(yù)防，并且在某些情況下中斷決策鏈的危機。ISO/IEC27031提供了關(guān)于業(yè)務(wù)連續(xù)性信息通信技術(shù)（ICT）就緒性的指導(dǎo)，以便在出現(xiàn)網(wǎng)絡(luò)安全事件和事態(tài)以及相關(guān)中斷時支持業(yè)務(wù)運營。危機管理的總體目標(biāo)是：——保護人的生命，包括必要的關(guān)鍵基礎(chǔ)設(shè)施；——支持日?；顒拥倪B續(xù)性；——盡可能保護資產(chǎn)，包括財產(chǎn)和自然環(huán)境。危機一般不同，目標(biāo)遵循以下原則：——協(xié)調(diào)性：有效的協(xié)調(diào)和溝通促進信息共享；——連續(xù)性：對危機的預(yù)防、準(zhǔn)備、響應(yīng)和恢復(fù)宜以組織的現(xiàn)有職能和熟悉的工作方式為基礎(chǔ)；——相稱性：危機管理宜根據(jù)危機的規(guī)模和性質(zhì)進行校準(zhǔn)；——可審計性：決策和行動透明、負(fù)責(zé)；——綜合性：預(yù)防、準(zhǔn)備、響應(yīng)和恢復(fù)宜被視為可能同時或連續(xù)發(fā)生。網(wǎng)絡(luò)安全事件管理要求能夠確保管理的一致性，以實現(xiàn)高效的事件處理。宜通過事件管理策略、規(guī)劃、流程和程序以及結(jié)構(gòu)合理的團隊、熟練人員、信息共享以及與內(nèi)部和外部其他方的協(xié)調(diào)來建立這種能力。5.5.2方針、規(guī)劃和過程組織的信息安全管理策略宜考慮網(wǎng)絡(luò)安全事件管理如何與風(fēng)險管理保持一致。為實現(xiàn)這一目標(biāo)，作為風(fēng)險管理過程的一部分，組織宜確定他們想要應(yīng)對和控制的事態(tài)/事件列表，同時確保盡可能減少對業(yè)務(wù)運營和目標(biāo)的影響。事件管理需要定義相關(guān)流程并經(jīng)最高管理層批準(zhǔn)。流程包括在流程各階段需執(zhí)行的動作（或過程以及具有適當(dāng)?shù)臏贤ㄇ篮头绞健?.5.3事件管理結(jié)構(gòu)為了能夠一致地響應(yīng)事態(tài)和事件，組織宜建立事件管理能力，以制定網(wǎng)絡(luò)安全事件管理策略和描述事件響應(yīng)結(jié)構(gòu)。組織還宜確保使用指令和資源充分應(yīng)對事件。a)事件管理小組事件管理小組由組織內(nèi)技能熟練且值得信賴的成員組成，負(fù)責(zé)領(lǐng)導(dǎo)所有網(wǎng)絡(luò)安全事件管理活動，并GB/T20985.1—XXXX/ISO/IEC27035-1:20237在整個事件生命周期內(nèi)與其他內(nèi)部和外部各方進行協(xié)調(diào)。事件管理小組提供所有必要的服務(wù)，以應(yīng)對事件，不僅包括準(zhǔn)備、發(fā)現(xiàn)、報告、評估和響應(yīng)事件，還包括威脅和漏洞檢測、咨詢、信息共享、吸取經(jīng)驗教訓(xùn)、改進、教育和意識。為了提供這些服務(wù)，事件管理小組可以在任何時候引入任何必要的資源。組織宜確定和分配角色和職責(zé)，以處理、協(xié)調(diào)和響應(yīng)事件。b)聯(lián)系點聯(lián)系點（PoC）是人員在發(fā)現(xiàn)異常情況以及在策略和意識會議中被視為事態(tài)時可以求助的角色、地址或人員。根據(jù)組織的性質(zhì)和規(guī)模，可以有多個PoC。例如，一個PoC是信息通信技術(shù)問題，一個PoC是物理、組織和程序情況，這與已經(jīng)存在的針對事故、火災(zāi)和其他受損設(shè)備的情況類似。c)事件協(xié)調(diào)員：——協(xié)調(diào)和管理信息系統(tǒng)或個人提出的事件通知和警報；——對事態(tài)進行評估并宣布事件；——配合事件響應(yīng)小組并協(xié)調(diào)其活動；——記錄有關(guān)事件及其解決方案的所有信息；——完成并發(fā)送事件報告及其改進建議；——按照事件管理小組的指示與內(nèi)部和外部組織協(xié)調(diào)事件處理。事件協(xié)調(diào)員宜在整個事件期間保持整體控制。如果事件超出某名事件協(xié)調(diào)員的工作時間，需要有人在場/可用，則另一名事件協(xié)調(diào)員宜接管所有必要的信息和權(quán)限。如果需要致電BCP（業(yè)務(wù)連續(xù)性規(guī)劃）/DRP（災(zāi)難恢復(fù)規(guī)劃）協(xié)調(diào)員或小組，事件協(xié)調(diào)員宜保持知情狀態(tài)，并在危機解決后恢復(fù)對事件的管理，以便完全解決。d)事件響應(yīng)小組：——執(zhí)行“過程”以響應(yīng)事件；——發(fā)現(xiàn)根本原因和隱藏的脆弱性；——解決事件；——向事件協(xié)調(diào)員報告。e)變更采取措施改進事件預(yù)防和響應(yīng)的管理團隊。f)宣傳和培訓(xùn)團隊，負(fù)責(zé)準(zhǔn)備旨在識別和報告不必要事件的計劃和課程。g)脆弱性管理團隊，分析事件期間檢測到的脆弱性并向變更管理團隊提供建議。h)確保與BCP/DRP協(xié)調(diào)員或小組協(xié)調(diào)危機管理團隊。i)安全監(jiān)控團隊，負(fù)責(zé)根據(jù)經(jīng)驗教訓(xùn)更新監(jiān)控和檢測系統(tǒng)規(guī)則，并監(jiān)控類似事件的再次發(fā)生。5.6溝通組織宜將批準(zhǔn)的網(wǎng)絡(luò)安全事件管理策略傳達給相關(guān)方，這包括內(nèi)部員工和有權(quán)訪問組織信息的外部人員。組織宜傳達以下內(nèi)容：——組織的網(wǎng)絡(luò)安全事件策略和相關(guān)程序；——人員的義務(wù)/期望；——事件報告程序；——聯(lián)系誰獲取更多信息；——事件后果以及如何盡量減少再次發(fā)生。組織宜促進事件管理的“無過錯”報告流程，使工作人員能夠站出來報告事態(tài)，而不必?fù)?dān)心報復(fù)。焦點宜改為關(guān)注組織從接收事件報告、學(xué)習(xí)中獲得的積極成果并從事件中得到改善，從而變得更安全、更有彈性。事件報告首先是“無過錯”，即不將過失或過錯與所報告事件相關(guān)聯(lián)。在調(diào)查之后，如果事件被發(fā)GB/T20985.1—XXXX/ISO/IEC27035-1:20238現(xiàn)是故意違反組織政策和程序的結(jié)果，或者是多次出現(xiàn)不當(dāng)行為或疏忽，則可能會受到制裁。溝通對于控制事件消息傳遞至關(guān)重要，包括消息傳遞的地點、時間、內(nèi)容和方式，以提供適當(dāng)?shù)捻憫?yīng)和滿足組織或社會需求。內(nèi)部溝通對于有效的響應(yīng)和恢復(fù)是必要的，而外部溝通對于公司形象來說是必不可少的。注：事件的信息泄露（也稱為不受控的溝通只有經(jīng)過適當(dāng)授權(quán)和準(zhǔn)備的人員才能與外部進行交流，以便只在最佳時機以適當(dāng)?shù)男问秸f明必要信5.7文檔5.7.1概述從事件發(fā)現(xiàn)到解決，盡可能多地記錄與事件相關(guān)的信息至關(guān)重要。事件報告是所有這些信息的綜合。5.7.2事態(tài)報告事態(tài)報告宜包含了解事態(tài)并決定是否將事態(tài)歸類為事件所需的所有內(nèi)容。這包括：a)發(fā)現(xiàn)日期和時間；b)舉報人姓名（可以隱藏以保密）；c)理解事態(tài)的所有情況和事實。5.7.3事件管理日志宜對事件響應(yīng)期間收集的所有信息進行文檔化、記錄或者保存日志，作為行動記錄，即日期/時間和相應(yīng)的行動/決定。5.7.4事件報告事件報告是整個事件生命周期中收集的所有信息的綜合。它用于分析和評估事件，并決定是否計劃對事件管理能力進行變更（見5.5）。宜為事件報告編制預(yù)先格式化的模板文件，以確保未遺漏或忽略必要的信息。5.7.5事件登記所有網(wǎng)絡(luò)安全事件宜被記錄到集中管理的事件數(shù)據(jù)庫中。該數(shù)據(jù)庫為事件管理團隊提供了組織內(nèi)發(fā)生的事件、事件狀態(tài)和所有后續(xù)活動的概述。事件管理團隊還可使用該數(shù)據(jù)庫向管理層提供報告圍繞威脅環(huán)境的趨勢和主題進行管理，并反饋給組織規(guī)劃和風(fēng)險評估活動。6過程6.1概述為實現(xiàn)5.2所述目標(biāo)，網(wǎng)絡(luò)安全事件管理過程包括五個不同的階段：——規(guī)劃和準(zhǔn)備（見6.2）；——發(fā)現(xiàn)和報告（見6.3）；——評估和決策（見6.4）；——響應(yīng)（見6.5）；——經(jīng)驗總結(jié)（見6.6）。圖3給出了上述階段的高層視圖。GB/T20985.1—XXXX/ISO/IEC27035-1:20239一些活動可能發(fā)生在多個階段或貫穿事件處理過程。這些活動包括：——記錄事態(tài)和事件證據(jù)和關(guān)鍵信息、采取的響應(yīng)措施，以及作為事件處理流程的一部分而采取的后續(xù)行動；——相關(guān)方之間的協(xié)調(diào)和溝通；——向管理層和其他相關(guān)方告知重大事件；——相關(guān)方與內(nèi)部和外部協(xié)作者（諸如供應(yīng)商和其他事件響應(yīng)小組）之間的信息共享。在事件或事態(tài)管理過程中，各步驟時間應(yīng)考慮以下因素：a)發(fā)現(xiàn)：盡快完成。b)報告：完成所需表格，避免非必要延遲，或通過自動方法完成。c)響應(yīng)：在損害（影響和后果）超過組織確定的限值之前盡快開始響應(yīng)，以避免出現(xiàn)需要采取BCP/DRP措施的情況。應(yīng)在BCP中明確定義可接受限值并告知每個人。因此，各類事件可能具有不同的解決路徑或模式。d)溝通——內(nèi)部：盡快采取措施和行為并防止事件擴大；——外部：盡快獲得相關(guān)外部介入方的必要幫助，并通知利益相關(guān)方。e)升級：在組織確定的時間間隔內(nèi)和/或在影響超過組織確定的限值之前。f)通知：在組織確定的時間間隔或任何法律要求的時間間隔內(nèi)。宜執(zhí)行和監(jiān)測所有措施，避免非必要延遲。GB/T20985.1—XXXX/ISO/IEC27035-1:2023圖3網(wǎng)絡(luò)安全事件管理階段圖4展示了網(wǎng)絡(luò)安全事件管理階段及相關(guān)活動中的網(wǎng)絡(luò)安全事態(tài)與事件流。GB/T20985.1—XXXX/ISO/IEC27035-1:2023圖4網(wǎng)絡(luò)安全事態(tài)和事件處理流程圖6.2規(guī)劃和準(zhǔn)備有效的網(wǎng)絡(luò)安全事件管理需要適當(dāng)?shù)囊?guī)劃和準(zhǔn)備。在事件響應(yīng)各階段需保持冷靜，控制并掌握響應(yīng)時間。否則，事件持續(xù)時間延長可能會增加對組織的不利影響。該響應(yīng)時間宜作為恢復(fù)時間目標(biāo)（RTO）GB/T20985.1—XXXX/ISO/IEC27035-1:2023的一部分進行計算，并宜考慮發(fā)現(xiàn)、報告和評估所需的不可避免的延遲。要將一個有效率和效果的網(wǎng)絡(luò)安全事件管理計劃投入運行，組織宜完成一些準(zhǔn)備活動，以支持ISMS的事件管理要求，包括：a)制定并文檔化網(wǎng)絡(luò)安全事件管理策略，并獲得最高管理層的承諾，包括策略的目的、目標(biāo)和范圍、確定事件和確定事件優(yōu)先級的類別和標(biāo)準(zhǔn)、組織結(jié)構(gòu)和角色設(shè)置、事件管理的職責(zé)和權(quán)限、績效措施、報告和聯(lián)系形式；b)更新組織和系統(tǒng)、服務(wù)或網(wǎng)絡(luò)各層面的網(wǎng)絡(luò)安全策略，包括與風(fēng)險管理相關(guān)的策略；c)制定并文檔化詳細(xì)的網(wǎng)絡(luò)安全事件管理計劃，包括事件處理、溝通和信息共享的流程和方法，以建立事件管理能力。組織宜：——定義網(wǎng)絡(luò)安全事態(tài)/事件指標(biāo)和跡象；——基于風(fēng)險評估結(jié)果，列出組織希望能夠控制的可能事態(tài)/事件，每個事態(tài)/事件后續(xù)可能發(fā)——制定事件報告的格式和內(nèi)容，使得不論由誰填寫表格，都能保持報告的一致性，這對吸取經(jīng)驗教訓(xùn)以及確定向管理層報告共同主題和趨勢很重要；——定義/確定事件類別；——制定移交流程，以便在發(fā)生行政事件（如違反政策）成為犯罪事件（如欺詐）時移交執(zhí)法部門；——文檔化事件發(fā)布的評估流程；——確定與危機管理團隊（BCP/DRP）雙向交流的信息和責(zé)任；——建立事件管理小組，負(fù)責(zé)收集編制事件響應(yīng)規(guī)劃所需的所有技能；——建立決策/命令架構(gòu)和緊急呼叫清單；——提供必要的內(nèi)部和外部聯(lián)系點（如法律機構(gòu)）；——建立事件響應(yīng)小組，其職責(zé)是響應(yīng)和解決事件。可能存在幾個具有特定技能的事件響應(yīng)小組，以應(yīng)對特定事件。詳見GB/T20985.2第7.3節(jié)；d)確定事件響應(yīng)小組及其職能和服務(wù)，并為其人員制定、開發(fā)和提供適當(dāng)?shù)呐嘤?xùn)方案。響應(yīng)團隊宜知道如何做，要使用哪些資源以及在哪些時間段中使用。需對人員進行培訓(xùn)，使其能夠在壓力下高效工作；e)建立并保持與直接參與網(wǎng)絡(luò)安全事態(tài)、事件、威脅和漏洞管理的內(nèi)部和外部組織的適當(dāng)關(guān)系和聯(lián)系，并向其傳達組織關(guān)于網(wǎng)絡(luò)安全事件管理的策略和規(guī)程；f)建立、實施和運行技術(shù)、組織和運行機制，以支持網(wǎng)絡(luò)安全事件管理計劃。開發(fā)和部署必要的信息系統(tǒng)以支持事件響應(yīng)，包括網(wǎng)絡(luò)安全事件登記。這些機制和系統(tǒng)旨在防止網(wǎng)絡(luò)安全事件發(fā)生或降低網(wǎng)絡(luò)安全事件發(fā)生的可能性；g)設(shè)計并制定網(wǎng)絡(luò)安全事態(tài)、事件和漏洞管理的意識教育和培訓(xùn)計劃；h)測試網(wǎng)絡(luò)安全事件管理計劃的使用情況及流程和規(guī)程。本階段完成后，組織宜對網(wǎng)絡(luò)安全事件的妥當(dāng)管理做好了充分準(zhǔn)備。GB/T20985.2第4章至第11章描述了上述各項活動，包括策略和規(guī)劃文件的內(nèi)容。6.3發(fā)現(xiàn)和報告網(wǎng)絡(luò)安全事件管理的第二階段包括通過人工或自動手段發(fā)現(xiàn)網(wǎng)絡(luò)安全事態(tài)的發(fā)生和網(wǎng)絡(luò)安全脆弱性的存在，收集相關(guān)信息并報告。在本階段中，事態(tài)和脆弱性可能尚未被歸為網(wǎng)絡(luò)安全事件?？纱嬖诙喾N渠道向適當(dāng)?shù)穆?lián)絡(luò)點（PoC）通報安全事態(tài)。將ICT和技術(shù)型事態(tài)報告給ICT部門；但其他問題，如侵犯隱私，可能會向組織的其他部門提出。組織宜制定相關(guān)規(guī)程，將事態(tài)報告分發(fā)給事件協(xié)調(diào)員以統(tǒng)籌協(xié)調(diào)所有網(wǎng)絡(luò)安全事件。事件協(xié)調(diào)員宜與業(yè)務(wù)的其他部門協(xié)調(diào)這些不同的輸入。公安、醫(yī)療、GB/T20985.1—XXXX/ISO/IEC27035-1:2023消防和其他應(yīng)急服務(wù)部門有時會是不同的電話號碼。此外，溝通渠道可能是不同的，如電話、傳真、蜂鳴器、電子郵件、ICT系統(tǒng)中的自動報警、信息推送通知、（操作員）儀表盤等。發(fā)現(xiàn)這類情況的實體并不一定是遭受其影響的實體（例如：安全人員發(fā)現(xiàn)入侵和辦公室盜竊、鄰居發(fā)現(xiàn)房屋火災(zāi)）。重要的是要考慮作為目標(biāo)的或受影響的業(yè)務(wù)團隊/實體的概念，即業(yè)務(wù)活動，更準(zhǔn)確地說，包括業(yè)務(wù)活動執(zhí)行人員/實體及其相關(guān)管理。根據(jù)組織的報告策略進行安全事態(tài)報告，便于在需要時開展后續(xù)分析。在發(fā)現(xiàn)和報告階段，組織宜開展以下關(guān)鍵活動：a)由監(jiān)控系統(tǒng)或監(jiān)控團隊進行監(jiān)控（如觀察攝像機圖像），并適當(dāng)?shù)赜涗浵到y(tǒng)和網(wǎng)絡(luò)活動；b)通過人工或自動方式，發(fā)現(xiàn)并報告網(wǎng)絡(luò)安全事態(tài)或相關(guān)脆弱性和威脅；c)收集有關(guān)網(wǎng)絡(luò)安全事態(tài)或相關(guān)脆弱性和威脅的信息；d)從內(nèi)部和外部數(shù)據(jù)源收集態(tài)勢感知信息，包括本地系統(tǒng)和網(wǎng)絡(luò)流量和活動日志、可能影響事件活動的當(dāng)前政治、社會或經(jīng)濟活動的新聞報道、事件趨勢的外部報道、新型攻擊向量、現(xiàn)有攻擊指標(biāo)以及新的緩解對策和技術(shù)；e)內(nèi)外部威脅分析，以了解威脅環(huán)境并監(jiān)測其變化；f)確定并涵蓋威脅評估分析信息的可靠性和質(zhì)量；g)根據(jù)現(xiàn)有和潛在威脅，定期分析脆弱性和攻擊向量；h)確保正確記錄所有發(fā)現(xiàn)活動和結(jié)果，用于后續(xù)分析；i)確保安全收集和存儲數(shù)字證據(jù)，持續(xù)監(jiān)控其保存安全情況，以備法律訴訟或內(nèi)部紀(jì)律處分的證據(jù)之需。有關(guān)數(shù)字證據(jù)的識別、收集、獲取和保存的更多詳細(xì)信息見附錄A；j)本階段需要的時候，升級去做進一步的評審或決策。所有收集到的網(wǎng)絡(luò)安全事態(tài)、事件或脆弱性相關(guān)信息宜存儲在由事件響應(yīng)小組管理的網(wǎng)絡(luò)安全數(shù)據(jù)庫中。在每項活動期間報告的信息宜盡可能做到當(dāng)時是完整的，以支持評估、決策和所采取的行動，包括可能的后續(xù)分析。6.4評估和決策在網(wǎng)絡(luò)安全事件管理的第三階段對網(wǎng)絡(luò)安全事態(tài)發(fā)生的相關(guān)信息進行評估，并判斷是否將該事態(tài)歸為網(wǎng)絡(luò)安全事件。根據(jù)事態(tài)報告以及在規(guī)劃和準(zhǔn)備階段確定的標(biāo)準(zhǔn)，事件協(xié)調(diào)員對事態(tài)進行評估并決定該事態(tài)是否為事件。一旦網(wǎng)絡(luò)安全事態(tài)被發(fā)現(xiàn)和報告，宜進行以下后續(xù)活動：a)對參與評估、決策和行動的人員，包括安全和非安全人員，通過適當(dāng)?shù)膶哟谓Y(jié)構(gòu)來分配網(wǎng)絡(luò)安全事件管理活動的責(zé)任。b)為每一個被通知的人員提供需遵從的正式規(guī)程，包括評審和修改報告、評估損害并通知相關(guān)人員。單個人的行動將取決于事件類型和嚴(yán)重性。c)按照指南對信息安全事態(tài)以及在被歸為網(wǎng)絡(luò)安全事件后的后續(xù)行動進行完整的文檔化。d)評估事態(tài)是否為事件，關(guān)聯(lián)事態(tài)是否再次發(fā)生，并從先前的行動和響應(yīng)中獲取數(shù)據(jù)。解決的類型和時間范圍取決于基于在規(guī)劃和準(zhǔn)備階段確定的因素做的決策。決策標(biāo)準(zhǔn)宜清晰和經(jīng)過測試，考慮到技術(shù)、商業(yè)和人力方面。根據(jù)相關(guān)的內(nèi)部文件，對所有的網(wǎng)絡(luò)安全事件進行優(yōu)先排序。e)必要時，通過已建立和已使用的渠道和方案與事件響應(yīng)小組和業(yè)務(wù)管理層進行溝通。f)召集響應(yīng)團隊，以響應(yīng)和解決在發(fā)現(xiàn)階段識別的各種問題以及發(fā)現(xiàn)者/報告者提供的信息。g)收集目標(biāo)或受影響團隊的信息。h)啟動響應(yīng)計時器。GB/T20985.1—XXXX/ISO/IEC27035-1:2023i)快速決定事態(tài)是否為網(wǎng)絡(luò)安全事件至關(guān)重要，因為這允許快速指派事件響應(yīng)小組并設(shè)置“倒計時”過程，以確保事件在預(yù)期時間范圍內(nèi)得到解決。規(guī)劃和準(zhǔn)備階段宜制定決策表。j)對于評估和決策階段，組織宜進行如下關(guān)鍵活動：k)收集信息，包括測試、測量和檢測網(wǎng)絡(luò)安全事態(tài)的其他數(shù)據(jù)。收集的信息類型和數(shù)量取決于已發(fā)生的網(wǎng)絡(luò)安全事態(tài)。l)事件協(xié)調(diào)者宜進行評估，以確定這個網(wǎng)絡(luò)安全事態(tài)是屬于網(wǎng)絡(luò)安全事件還是僅為一次誤報。誤報（誤判）說明該事態(tài)不會造成任何實際的或嚴(yán)重的后果。如果需要，由事件響應(yīng)小組進行復(fù)核，以確保事件處理者的聲明是準(zhǔn)確的。m)記錄所有活動、結(jié)果和相關(guān)決策，以便日后分析和記錄保存。n)確保變更控制機制得到有效維護，以便覆蓋網(wǎng)絡(luò)安全事件追蹤和事件報告更新，并保持網(wǎng)絡(luò)安全數(shù)據(jù)庫處于最新狀態(tài)。所有收集到的網(wǎng)絡(luò)安全事態(tài)、事件或脆弱性相關(guān)信息宜存儲在由事件響應(yīng)小組管理的網(wǎng)絡(luò)安全數(shù)據(jù)庫中。每項活動報告的信息宜盡可能全面，以支持評估、決策和所采取的活動。6.5響應(yīng)網(wǎng)絡(luò)安全事件管理的第四階段按照評估和決策階段所決定的行動響應(yīng)網(wǎng)絡(luò)安全事件。根據(jù)決策，宜立即、實時或接近實時做出響應(yīng)，一些響應(yīng)可能包括網(wǎng)絡(luò)安全調(diào)查。事件協(xié)調(diào)者負(fù)責(zé)協(xié)調(diào)事件響應(yīng)小組活動并監(jiān)測響應(yīng)計時器。各類事件均有特定響應(yīng)。根據(jù)事件響應(yīng)小組在啟動期間發(fā)現(xiàn)的情況，事件響應(yīng)可能采取各種/不同的恢復(fù)路徑以及需要各種/不同的資源。網(wǎng)絡(luò)安全事件協(xié)調(diào)者依據(jù)事件嚴(yán)重性定期更新，根據(jù)對發(fā)現(xiàn)事件做出響應(yīng)或修復(fù)/恢復(fù)有缺陷、損壞或毀壞的資產(chǎn)（物理、材料、軟件、流程、組織等），決定是否需要聯(lián)系具有特定技能的其他團隊。當(dāng)響應(yīng)事態(tài)而非事件時，通常在正常的業(yè)務(wù)流程中完成事態(tài)處置，因為不存在緊急情況或即時危險。事件協(xié)調(diào)者與事件的目標(biāo)/受影響的團隊/實體保持定期聯(lián)系，共同決定該事件是否得到解決。這是為了進一步確保是否有足夠的資源來重新開展業(yè)務(wù)活動。但這種情況可能需要更全面的解決方案，以全面恢復(fù)并重新使用其功能和操作。事件協(xié)調(diào)者準(zhǔn)備事件報告，該報告宜包括：——情況分析；——確定問題及其原因（如可能）；——確定嚴(yán)重性和緊迫性以做出響應(yīng)；——包含變更方案。注1：如果事件處置超出某名事件協(xié)調(diào)員的工作時間（例），響應(yīng)流程需要以下方面：——清晰定義需要管理和控制的事件；——必要和所需資源清單；——待執(zhí)行行動的詳細(xì)時間順序表，包括時間安排；——目標(biāo)處置方案時限；——聯(lián)絡(luò)點和依據(jù)標(biāo)準(zhǔn)的信息渠道列表；——團隊的技能和規(guī)模（開展必要/所需的培訓(xùn)）；——滿足資源需求。一旦明確網(wǎng)絡(luò)安全事件和響應(yīng)，宜采取以下后續(xù)活動：GB/T20985.1—XXXX/ISO/IEC27035-1:2023a)確定一個適當(dāng)?shù)脑u估、決策與行動人員結(jié)構(gòu)，包括必要的安全和非安全領(lǐng)域人員，分配網(wǎng)絡(luò)安全事件管理活動相關(guān)責(zé)任。b)制定每位相關(guān)人員宜遵循的規(guī)程，包括審核和修改報告、評估損害并通知到相關(guān)人員。個體行動取決于事件類型和嚴(yán)重性。c)獲取其他信息時，重新考慮初始評估，以確定是否需重新確定網(wǎng)絡(luò)安全事件的優(yōu)先級或調(diào)整響應(yīng)活動。d)使用指南全面記錄網(wǎng)絡(luò)安全事件和后續(xù)事件措施。e)與目標(biāo)/受影響的團隊/實體一起評估提議的解決方案，以確保其符合解決標(biāo)準(zhǔn)和所有相關(guān)方預(yù)f)根據(jù)需要依據(jù)網(wǎng)絡(luò)安全事件類別對應(yīng)的規(guī)模級別，對網(wǎng)絡(luò)安全事件進行調(diào)查。必要時對事件的規(guī)模進行變更。調(diào)查宜開展多種類型的分析，深度理解網(wǎng)絡(luò)安全事件。g)事件響應(yīng)小組核定網(wǎng)絡(luò)安全事件是否在可控范圍內(nèi)，確認(rèn)后立即響應(yīng)。如果網(wǎng)絡(luò)安全事件不在可控范圍內(nèi)或者將要對組織運行產(chǎn)生嚴(yán)重影響，宜升級到危機處理模式采取危機處理活動。事件升級會導(dǎo)致兩種不同級別的行動：——在事態(tài)協(xié)調(diào)者的職責(zé)和權(quán)限內(nèi)時（見6.2和6.3例如召集更多具有不同技能的響應(yīng)團隊，以響應(yīng)所發(fā)現(xiàn)的情況（發(fā)生火災(zāi)時，緊急聯(lián)絡(luò)點呼叫救護車、警察和其他消防隊）；——超出事件協(xié)調(diào)者權(quán)限時，事態(tài)協(xié)調(diào)者請求其他管理層支持。組織中其他部門參與情形，例如，產(chǎn)生財務(wù)影響時需要外部支持和財務(wù)部門授權(quán)。h)分配內(nèi)部資源并明確外部資源，以響應(yīng)事件。i)確保所有參與方，特別是事件響應(yīng)小組，將所有活動都適當(dāng)?shù)赜浫肴罩?，用于后續(xù)分析。j)確保安全地收集和保存數(shù)字證據(jù)，且是可被證明的，對保存狀態(tài)的安全性進行持續(xù)監(jiān)控，以防數(shù)據(jù)證據(jù)將來用于司法起訴或內(nèi)部處罰過程。收集數(shù)字證據(jù)包括以下活動：——頻繁更新關(guān)鍵利益相關(guān)者狀態(tài)；——收集、記錄并維護與事件相關(guān)的證據(jù)監(jiān)管鏈；——將事件通報給監(jiān)管機構(gòu)（如適用）；——將事件結(jié)束詳情更新到事件數(shù)據(jù)庫；——遵循與網(wǎng)絡(luò)安全事件相關(guān)的證據(jù)的保留和保存要求（可適用法律和法規(guī)要求）。注2：有關(guān)數(shù)字證據(jù)的識別、收集、獲取和保存的更k)確保變更控制制度得到有效維護，覆蓋網(wǎng)絡(luò)安全事件追蹤和事件報告更新，并保持網(wǎng)絡(luò)安全事件數(shù)據(jù)庫處于最新狀態(tài)。l)遵循預(yù)先定義的溝通渠道和方式/或參與計劃，該計劃確定誰有權(quán)與不同的利益相關(guān)者進行溝通，依據(jù)組織和事件管理溝通規(guī)劃和信息披露策略，將網(wǎng)絡(luò)安全事件詳情（例如威脅、攻擊和漏洞信息）同步給其他內(nèi)部和外部個人或組織。重要的是，通知在影響分析期間確定的資產(chǎn)所有者以及內(nèi)外部組織（例如其他事件響應(yīng)團隊、執(zhí)法機構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和信息共享組織），這些組織可以協(xié)助管理和解決事件。共享信息也可以使其他組織受益，因為相同的威脅和攻擊通常會影響多個組織。m)從一個網(wǎng)絡(luò)安全事件恢復(fù)后，宜根據(jù)該事件的屬性和嚴(yán)重程度啟動“事件后行動”，包括：——調(diào)查該事件相關(guān)信息；——調(diào)查其他相關(guān)因素，如涉及人員；——總結(jié)報告調(diào)查結(jié)果。n)一旦該網(wǎng)絡(luò)安全事件已得到解決，宜按照事件響應(yīng)小組和上級組織要求關(guān)閉該事件處理，并通知所有相關(guān)方。GB/T20985.1—XXXX/ISO/IEC27035-1:2023所有收集到的網(wǎng)絡(luò)安全事態(tài)、事件或脆弱性相關(guān)信息宜存儲在由事件響應(yīng)小組管理的網(wǎng)絡(luò)安全數(shù)據(jù)庫中。在每項活動期間報告的信息宜盡可能全面，以支持評估、決策和所采取的活動，包括可能的后續(xù)分析。6.6經(jīng)驗總結(jié)網(wǎng)絡(luò)安全事件管理的第五階段始于網(wǎng)絡(luò)安全事件已得到解決。這一階段包括從如何處理事件、相關(guān)脆弱性和威脅等中汲取經(jīng)驗教訓(xùn)。經(jīng)驗教訓(xùn)可以來自一個或多個網(wǎng)絡(luò)安全事件或報告的安全脆弱性。使用度量指標(biāo)，有助于改進網(wǎng)絡(luò)安全控制部署的組織策略。非常重要的是，吸取的經(jīng)驗教訓(xùn)宜與作出業(yè)務(wù)決策的網(wǎng)絡(luò)安全管理變更能力關(guān)聯(lián)，并在認(rèn)為必要時將提出的變更納入網(wǎng)絡(luò)安全管理改進流程。事件報告宜指出導(dǎo)致不同行動的各種情況，并提交給網(wǎng)絡(luò)安全管理改進過程。報告還宜基于經(jīng)驗教訓(xùn)改進網(wǎng)絡(luò)安全事件管理計劃及其文件。在經(jīng)驗總結(jié)階段，組織宜進行以下關(guān)鍵活動review是翻譯成評審還是審核）a)審核流程、規(guī)程、報告格式和組織結(jié)構(gòu)，對于網(wǎng)絡(luò)安全事件響應(yīng)、評估和恢復(fù)以及網(wǎng)絡(luò)安全脆弱性的處理是否有效；b)識別、文檔化并溝通從網(wǎng)絡(luò)安全事件、相關(guān)脆弱性和威脅中吸取的經(jīng)驗教訓(xùn)；c)審核、識別并改進網(wǎng)絡(luò)安全控制措施（包括新提出的或更新的控制措施）的實施，以及網(wǎng)絡(luò)安全事件管理策略；d)審核、識別并改進組織當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險評估和管理審核；e)根據(jù)組織意愿，在一個可信的團體中，溝通并共享評審結(jié)果；f)決定事件信息、相關(guān)攻擊向量和脆弱性是否可共享給合作伙伴組織，以為防止相同事件在他們的環(huán)境中重演提供幫助；g)對事件響應(yīng)小組表現(xiàn)和有效性進行周期性的綜合評估。需要強調(diào)的是，網(wǎng)絡(luò)安全事件管理活動是迭代的，因此組織宜隨時間推移定期改進組織中一些網(wǎng)絡(luò)安全要素。這些改進宜基于對有關(guān)網(wǎng)絡(luò)安全事件、響應(yīng)和報告的網(wǎng)絡(luò)安全脆弱性的信息進行評審而提出。附錄D提供了事件調(diào)查期間發(fā)現(xiàn)的情況的注意事項。GB/T20985.2第12章詳述了上述各項活動。GB/T20985.1—XXXX/ISO/IEC27035-1:2023（規(guī)范性）與調(diào)查標(biāo)準(zhǔn)的關(guān)系本文件描述了綜合調(diào)查過程的一部分，該過程包括但不限于以下標(biāo)準(zhǔn)的應(yīng)用：——ISO/IEC27037ISO/IEC27037描述了調(diào)查早期階段（包括初始響應(yīng)階段）的參與人員如何確保獲取足夠的潛在電子證據(jù)，從而妥善推進調(diào)查過程的方法?！狪SO/IEC27038有些文檔包含不宜向某些團體披露的信息。在對原始文檔做了適當(dāng)處理后，經(jīng)過修改的文檔方可發(fā)布給這些團體。刪除不應(yīng)被披露的信息的過程稱為“涂抹”。文檔的數(shù)字化涂抹是文檔管理實踐中一個相對較新的領(lǐng)域，引發(fā)了獨特的問題和潛在的風(fēng)險。數(shù)字文檔經(jīng)過涂抹后，被刪除的信息不宜是可恢復(fù)的。因此，應(yīng)注意將修改后的信息從數(shù)字文檔中永久刪除（例如，不宜將其簡單地隱藏在文檔的不可顯示部分中）。ISO/IEC27038規(guī)定了電子文檔的數(shù)字化涂抹方法，還規(guī)定了可用于涂抹的軟件的要求。——ISO/IEC27040ISO/IEC27040提供了詳細(xì)的技術(shù)指導(dǎo)，說明組織如何通過采用經(jīng)充分驗證且始終如一的方法來規(guī)劃、設(shè)計、記錄和實施數(shù)據(jù)存儲安全，從而劃定適當(dāng)?shù)娘L(fēng)險緩解水平。存儲安全適用于存儲信息的保護（安全）以及通過與存儲相關(guān)的通信鏈路傳輸?shù)男畔⒌陌踩?。存儲安全包括設(shè)備和介質(zhì)的安全、與設(shè)備和介質(zhì)相關(guān)的管理活動的安全、應(yīng)用程序和服務(wù)的安全，以及設(shè)備和介質(zhì)使用周期內(nèi)和使用結(jié)束后與最終用戶相關(guān)的安全。諸如加密和清理等使用了混淆的安全機制會影響人員的調(diào)查能力，在調(diào)查之前和調(diào)查期間宜納入考量，但這些安全機制對于確保調(diào)查期間和調(diào)查之后證據(jù)材料得以充分準(zhǔn)備和保護也很重要?！狪SO/IEC27041調(diào)查過程中使用的方法和程序具有可證實的適宜性也很重要。ISO/IEC27041提供了關(guān)于如何確保調(diào)查方法和程序滿足調(diào)查要求及如何對調(diào)查方法和程序進行適宜性測試的指引?！狪SO/IEC27042本文件描述了如何設(shè)計和實施調(diào)查過程中使用的方法和程序，以正確評價潛在的電子證據(jù)、解釋電子證據(jù)并有效地報告調(diào)查結(jié)果?！狪SO/IEC27043本文件定義了事件調(diào)查中關(guān)鍵的通用原則和過程，并為調(diào)查的所有階段提供了框架模型?！狦B/T43577（ISO/IEC27050）系列GB/T43577系列涉及電子發(fā)現(xiàn)活動，包括但不限于電子存儲信息(ESI)的識別、保全、收集、處理、審查、分析和產(chǎn)出。此外，還為組織在面臨電子發(fā)現(xiàn)問題時，從最初創(chuàng)建ESI到最終處置ESI各階段，為降低風(fēng)險和費用支出所采取的措施提供了指引。不論參與部分還是全部電子發(fā)現(xiàn)活動，也不論是否為技術(shù)人員，均與之相關(guān)。電子發(fā)現(xiàn)通常作為調(diào)查以及證據(jù)獲取和處理活動的驅(qū)動因素。此外，數(shù)據(jù)的敏感性和重要性有時需要采取像存儲安全這樣的保護措施來防范數(shù)據(jù)泄露。——ISO/IEC30121ISO/IEC30121為組織的管理層（包括所有者、董事會成員、董事、合伙人、高級管理人員及類似人員）提供了一個框架，以說明在數(shù)字調(diào)查發(fā)生之前組織做好應(yīng)對準(zhǔn)備的最佳方案。ISO/IEC30121適用于數(shù)字證據(jù)披露中與保留、可用性、訪問和成本效益等因素相關(guān)的戰(zhàn)略流程（和決策）的制定，也適GB/T20985.1—XXXX/ISO/IEC27035-1:2023用于所有類型和規(guī)模的組織，其內(nèi)容是組織應(yīng)對數(shù)字化調(diào)查的審慎戰(zhàn)略準(zhǔn)備。取證就緒確保組織為接受具有證據(jù)屬性的潛在事態(tài)做好了適當(dāng)?shù)摹⑾嚓P(guān)的戰(zhàn)略準(zhǔn)備，可在出現(xiàn)無法避免的安全違規(guī)、欺詐和名譽侵權(quán)時采取行動。宜在所有場景下戰(zhàn)略性地利用信息技術(shù)(IT)，最大限度地增強證據(jù)的可用性、可訪問性和成本效益。圖A.1展示了圍繞事件及事件調(diào)查開展的典型活動。圖中以文件編號（例如ISO/IEC27037）代表上述文件，陰影條顯示每個文件最可能直接適用或?qū)φ{(diào)查過程有一定影響（例如制定政策或產(chǎn)生約束）的階段。盡管如此，建議在規(guī)劃和準(zhǔn)備階段開始前和進行中參考上述所有文件。圖中所示的各個過程類均在ISO/IEC27043中給出了定義，與之匹配的各項活動在ISO/IEC27035-2、ISO/IEC27037、ISO/IEC27042和ISO/IEC27041中有更為詳細(xì)的論述。圖A.1調(diào)查過程類和活動相關(guān)標(biāo)準(zhǔn)的適用性GB/T20985.1—XXXX/ISO/IEC27035-1:2023GB/T20985.1—XXXX/ISO/IEC27035-1:2023（資料性）網(wǎng)絡(luò)安全事件及其起因示例B.1事件類型B.1.1概述GB/T20985系列所涵蓋的事態(tài)和事件與信息和ICT安全息息相關(guān)。這些事態(tài)和事件的發(fā)生，源于不完善的風(fēng)險管理，以及在攻擊者目的和能力不斷演進背景下，人員、流程、技術(shù)的持續(xù)發(fā)展而帶來的相關(guān)脆弱性。事件管理應(yīng)涵蓋以下領(lǐng)域內(nèi)所有潛在的事態(tài)/事件情況。B.1.2機密性信息泄漏可能會對組織產(chǎn)生直接影響，泄露的信息落入非法入侵者或犯罪分子手中，可能造成無法挽回的損失。因此，應(yīng)“關(guān)門”（即阻斷泄露，修復(fù)缺陷），并通過確定發(fā)生泄漏的位置及其原因來防止未來可能發(fā)生的違規(guī)行為。B.1.3完整性在信息發(fā)布和/或使用之前，宜檢測或校正完整性事件（非授權(quán)的修改）。有必要通過確定原因進行預(yù)防。B.1.4可用性信息不可用性（不可訪問、無法使用、被刪除或消失的信息）可能會對服務(wù)級別協(xié)議（SLA）和RPO產(chǎn)生相關(guān)影響。在業(yè)務(wù)影響變得不可接受之前，應(yīng)找到并恢復(fù)這些信息。示例：應(yīng)在規(guī)定日期提交財政部門的完整財務(wù)報告未能如期完成。B.1.5訪問控制未經(jīng)授權(quán)的訪問會導(dǎo)致系統(tǒng)受損、資源被盜和信息泄露。應(yīng)通過識別潛在暴露點和原因，以及在適用情況下，檢查訪問控制許可（授權(quán)、身份驗證、角色、特權(quán)、網(wǎng)絡(luò)訪問等）來防止事件的再次發(fā)生。B.1.6漏洞技術(shù)、人員或程序漏洞，如訪問權(quán)限分配不當(dāng)，可能會被成功利用。漏洞示例包括：——未打補丁的服務(wù)器、計算機或軟件（未及時更新）；——對重要資產(chǎn)（信息、設(shè)備、房間）的保護不足。B.1.7技術(shù)故障技術(shù)故障導(dǎo)致ICT或物理設(shè)備無法運行或使用。這會造成漏洞或?qū)LA和RTO的潛在破壞。B.1.8設(shè)備被盜或丟失含有信息的設(shè)備被盜和丟失，應(yīng)視為可用性和/或機密性事件。GB/T20985.1—XXXX/ISO/IEC27035-1:2023B.2攻擊B.2.1拒絕服務(wù)拒絕服務(wù)(DoS)和分布式拒絕服務(wù)(DDoS)是一類具有共同特征的事件。這類事件導(dǎo)致系統(tǒng)、服務(wù)或網(wǎng)絡(luò)無法繼續(xù)按其預(yù)期能力運行，通常會完全拒絕合法用戶的訪問。由技術(shù)手段引起的DoS/DDoS事件主要有兩種類型：資源耗盡和資源匱乏。蓄意的技術(shù)性DoS/DDoS事件的典型例子包括：——向網(wǎng)絡(luò)廣播地址或其他服務(wù)偽造流量（如ping），試圖超出目標(biāo)組織的網(wǎng)絡(luò)帶寬；——以非預(yù)期格式向系統(tǒng)、服務(wù)或網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，試圖使其崩潰或破壞其正常運行；——與特定系統(tǒng)、服務(wù)或網(wǎng)絡(luò)開啟多個授權(quán)會話，以試圖耗盡其資源（即，使其運行速度變慢、鎖定或崩潰）。這種攻擊經(jīng)常通過僵尸主機來進行，即一個運行了受僵尸網(wǎng)絡(luò)控制的惡意軟件的計算機系統(tǒng)。僵尸網(wǎng)絡(luò)是一個由黑客管理的受集中指令控制的僵尸主機組成的網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的規(guī)?？珊w數(shù)百到數(shù)百萬臺受感染的計算機。某些技術(shù)型DoS事件可能是意外造成的，例如，操作員的錯誤配置或應(yīng)用軟件的不兼容，但多數(shù)時候是故意的。某些技術(shù)型DoS事件是故意發(fā)起的，目的在于導(dǎo)致系統(tǒng)、服務(wù)或網(wǎng)絡(luò)崩潰，而其他則僅是那些惡意活動的副產(chǎn)物。例如，某些較常見的隱蔽掃描和識別技術(shù)可能會導(dǎo)致舊的或錯誤配置的系統(tǒng)或服務(wù)在掃描時崩潰。值得注意的是，許多故意的技術(shù)型DoS事件往往是匿名執(zhí)行的（即攻擊源是“偽造的”），因為它們通常不需要攻擊者從受攻擊的網(wǎng)絡(luò)或系統(tǒng)接收任何反饋信息。非技術(shù)手段導(dǎo)致的DoS事件，會造成信息、服務(wù)和/或設(shè)施損失，可能由以下情況引起：——違反物理安全規(guī)定，造成設(shè)備的失竊或故意損壞和破壞；——由火災(zāi)或水災(zāi)導(dǎo)致的對硬件（和/或其位置）的意外損壞；——極端的環(huán)境條件，例如，高運行溫度（如因空調(diào)故障）；——系統(tǒng)故障或過載；——不受控的系統(tǒng)變更；——軟件或硬件故障。B.2.2未經(jīng)授權(quán)的訪問通常，此類事件包括實際發(fā)生的未授權(quán)訪問或濫用系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的嘗試。采用技術(shù)手段導(dǎo)致未授權(quán)訪問事件的一些示例包括：——嘗試檢索密碼文件；——試圖利用緩沖區(qū)溢出攻擊獲得對目標(biāo)的特權(quán)（如系統(tǒng)管理員）訪問；——利用協(xié)議漏洞劫持或誤導(dǎo)合法網(wǎng)絡(luò)連接；——試圖提升用戶或管理員已經(jīng)合法擁有的資源或信息的特權(quán)；——域名注冊商或托管服務(wù)提供商層面的損害，導(dǎo)致組織失去對其域名組合、電子郵件服務(wù)或網(wǎng)站運營或內(nèi)容的控制。非技術(shù)手段導(dǎo)致的未經(jīng)授權(quán)訪問事件，會造成直接或間接披露或篡改信息、違反問責(zé)制或濫用信息系統(tǒng)，可能由以下情況引起：——違反物理安全協(xié)議，導(dǎo)致信息被未經(jīng)授權(quán)訪問；——由于不受控的系統(tǒng)變更或軟件或硬件故障而導(dǎo)致的操作系統(tǒng)配置不當(dāng)和/或錯誤配置；——惡意內(nèi)部人員，例如利用其訪問組織信息資產(chǎn)謀取個人利益的人員。B.2.3惡意軟件GB/T20985.1—XXXX/ISO/IEC27035-1:2023惡意軟件是插入到另一個程序中的程序或程序的一部分，目的是修改其原始行為，通常用于執(zhí)行惡意活動，如信息和身份盜竊、信息和資源破壞、拒絕服務(wù)、垃圾郵件等。惡意軟件攻擊可分為五類：病毒、蠕蟲、特洛伊木馬、移動代碼和混合型惡意軟件。雖然病毒是針對任何易受攻擊的受感染系統(tǒng)而創(chuàng)建的，但其他惡意軟件也被用于執(zhí)行有針對性的攻擊。這有時是通過修改現(xiàn)有惡意軟件并創(chuàng)建出一個通常不會被惡意軟件檢測技術(shù)識別的變種來實現(xiàn)。B.2.4濫用當(dāng)用戶違反組織的信息系統(tǒng)安全策略時，會發(fā)生此類事件。此類事件并非嚴(yán)格意義上的攻擊，但通常報告為事件，應(yīng)由事件響應(yīng)小組處理。不當(dāng)使用可能包括：——下載并安裝黑客工具；——使用公司電子郵件發(fā)送垃圾郵件或推廣個人業(yè)務(wù)；——使用公司資源建立未經(jīng)授權(quán)的網(wǎng)站；——使用點對點活動獲取或分發(fā)盜版文件（音樂、視頻、軟件）；——濫用物理或邏輯訪問權(quán)限竊取信息以謀取個人利益；——濫用特權(quán)/職位獲取信息并向其他方泄露。B.3信息收集一般而言，事件的信息收集類別包括與識別潛在目標(biāo)和了解在這些目標(biāo)上運行的服務(wù)相關(guān)的活動。此類事件涉及偵察，目的是確定：——目標(biāo)的存在，以及了解網(wǎng)絡(luò)物理或邏輯拓?fù)洌ɡ缰車男畔⒓夹g(shù)網(wǎng)絡(luò)、設(shè)施、組織結(jié)構(gòu)以及目標(biāo)公司的日常溝通對象；——目標(biāo)或其直接環(huán)境中可能被利用的潛在漏洞。通過技術(shù)手段收集信息的典型實例包括：—偵察和識別受害者的在線基礎(chǔ)設(shè)施，已知域名或IP地址，或通過分析被動DNS信息；—ping網(wǎng)絡(luò)地址以查找“活動”的系統(tǒng)；—探測系統(tǒng)以識別（例如指紋）主機操作系統(tǒng)；—掃描系統(tǒng)上的可用網(wǎng)絡(luò)端口以識別網(wǎng)絡(luò)服務(wù)[例如電子郵件、文件傳輸協(xié)議(FTP)、Web等]以及這些服務(wù)的軟件版本；—在網(wǎng)絡(luò)地址范圍內(nèi)掃描一個或多個已知易受攻擊的服務(wù)（水平掃描）。在某些情況下，技術(shù)信息收集會延伸到未經(jīng)授權(quán)的訪問，例如，作為漏洞搜索的一部分，攻擊者還試圖獲得未經(jīng)授權(quán)的訪問。這通常發(fā)生在自動工具中，這些工具不僅搜索漏洞，而且還自動嘗試?yán)谜业降囊资芄舻南到y(tǒng)、服務(wù)和/或網(wǎng)絡(luò)。非技術(shù)手段導(dǎo)致的信息收集事件，導(dǎo)致：——直接或間接披露或修改信息；——盜竊以電子方式存儲的知識產(chǎn)權(quán)；——違反責(zé)任，如賬戶記錄；——濫用信息系統(tǒng)（如違反法律或組織政策）。信息收集事件可能由以下原因引起：——違反物理安全安排，導(dǎo)致未經(jīng)授權(quán)訪問信息，以及包含重要數(shù)據(jù)（例如加密密鑰）的數(shù)據(jù)存儲設(shè)備被盜；——由于不受控的系統(tǒng)變更或軟件或硬件故障而導(dǎo)致的操作系統(tǒng)配置不當(dāng)和/或錯誤，導(dǎo)致內(nèi)部或外部人員獲得其無權(quán)訪問的信息；——社會工程，即操縱他人執(zhí)行行為或泄露機密信息的行為，例如網(wǎng)絡(luò)釣魚、在電話中冒充他人；——尾隨進入限制區(qū)域；GB/T20985.1—XXXX/ISO/IEC27035-1:2023——傾聽對話；——觀察偷看/對公開文件失察；——搜索回收站或廢棄媒體；—