《信息技術(shù) 安全技術(shù) 信息安全事件管理 第2部分：事件響應(yīng)規(guī)劃和準備指南-編制說明》

一、工作簡況

[內(nèi)容包括下達計劃任務(wù)主管部門的完整名稱、項目計劃發(fā)布文件號、本項目的計劃代

號和主要承辦單位完整名稱、副主辦單位或協(xié)作單位完整名稱、主要工作過程、主要起草人

及其所做的工作等]

1、任務(wù)來源

《信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃和準

備指南》國家標準制定是全國信息安全標準化技術(shù)委員會2018年下達的國家標準

制定項目，項目編號為2018BZZD-WG7-001。

2、承辦單位

本標準由全國信息安全標準化技術(shù)委員（TC260）會提出并歸口，主要承辦

單位為中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司，副主辦單位包括三六零科技有限公司、

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、中國信息安全研究

院有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心。

3、項目背景

2017年6月1日正式實施的《中華人民共和國網(wǎng)絡(luò)安全法》中有8條22處涉及

應(yīng)對網(wǎng)絡(luò)安全事件，從技術(shù)措施、應(yīng)急預(yù)案、應(yīng)急處置、調(diào)查評估、責任追究等

方面提出了法定要求。為了落實這些法定要求，需要制定相應(yīng)的國家標準在標準

層面上配套支撐。

隨著新一代信息技術(shù)的發(fā)展，信息安全面臨著更為嚴峻的挑戰(zhàn)，信息安全事

件管理在信息系統(tǒng)運維過程中的重要程度和工作比重越來越大，信息安全事件響

應(yīng)全球化趨勢越發(fā)顯著。

信息安全事件管理是關(guān)鍵信息基礎(chǔ)設(shè)施必備的安全控制。有效的信息安全事

件管理和及時的信息安全事件響應(yīng)是關(guān)鍵信息基礎(chǔ)設(shè)施抗毀性和恢復(fù)力的必要

保證。

2007年發(fā)布的國家標準GB/Z20985—2007《信息技術(shù)安全技術(shù)信息安全

事件管理指南》是修改采用技術(shù)報告類國際標準ISO/IECTR18044:2004。最新

發(fā)布的國際標準ISO/IEC27035-1:2016和ISO/IEC27035-2:2016進一步發(fā)展了之

前的國際標準ISO/IECTR18044:2004和ISO/IEC27035:2011《信息技術(shù)安全

技術(shù)信息安全事件管理》。為此，2013年立項的GB/Z20985—2007標準修訂項

1

目等同采用了ISO/IEC27035-1:2016，形成了多部分標準GB/T20985的第1部分，

并已于2017年12月29日正式發(fā)布。因此，與第1部分配套采用ISO/IEC

27035-2:2016的GB/T20985第2部分，即GB/T20985.2《信息技術(shù)安全技術(shù)信

息安全事件管理第2部分：事件響應(yīng)規(guī)劃和準備指南》，有必要盡快配套制定。

4、工作過程

（1）2018年8月，與全國信息安全標準化技術(shù)委員會秘書處掛靠單位中國

電子技術(shù)標準化研究院簽訂了項目任務(wù)同書。

（2）2018年10月10日，項目組在項目申報時提交的標準草案v1.0基礎(chǔ)上繼

續(xù)改進，形成標準草案v1.1。

（3）2018年10月16-23日，在WG7工作組內(nèi)進行了專家函審，并根據(jù)專家反

饋意見形成了標準草案v1.2。

（4）2018年10月24日，在全國信安標委2018年第二次會議周WG7工作組全

體會議上匯報了工作進展情況及標準草案v1.2文本，并聽取了來自工作組成員單

位代表的意見和建議，經(jīng)投票表決同意進入征求意見稿階段。

（5）2018年12月，全面改進和完善草案v1.2后，形成征求意見稿v2.0，提

交至全國信安標委秘書處。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

[如技術(shù)指標、參數(shù)、公式、性能要求、試驗方法、檢驗規(guī)則等的論據(jù)，包括試驗、統(tǒng)

計數(shù)據(jù)，解決的主要問題。修訂標準時應(yīng)列出與原標準的主要差異和水平對比]

1、編制原則

（1）配套適用：該標準采用國際標準ISO/IEC27035-2:2016《信息技術(shù)安

全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃和準備指南》，配套已等

同采用國際標準ISO/IEC27035-1:2016的國家標準GB/T20985.1《信息技術(shù)安

全技術(shù)信息安全事件管理第1部分：事件管理原理》，同時需考慮其技術(shù)內(nèi)

容對我國國情的適用性。

（2）準確理解：在充分理解國際標準原文的基礎(chǔ)上進行翻譯，做到準確表

達原意。

（3）語言通暢：在翻譯過程中，盡量符合中文的語言習慣，做到表述通暢。

2

2、主要內(nèi)容

GB/T20985.2基于GB/T20985.1中給出“信息安全事件管理階段”模型的

“規(guī)劃和準備”階段和“經(jīng)驗總結(jié)”階段，提供進一步指南。

“規(guī)劃和準備”階段的內(nèi)容要點包括以下方面：

?信息安全事件管理策略和最高管理者的承諾；

?在公司層面以及系統(tǒng)、服務(wù)和網(wǎng)絡(luò)層面更新的信息安全策略，包括那些

與風險管理相關(guān)的；

?信息安全事件管理計劃；

?事件響應(yīng)小組（IRT）的建立；

?建立與內(nèi)部和外部組織的關(guān)系和聯(lián)絡(luò)；

?技術(shù)及其他方面（包括組織和運行方面）的支持；

?信息安全事件管理的意識教育和培訓(xùn)；

?信息安全事件管理計劃的測試。

“經(jīng)驗總結(jié)”階段的內(nèi)容要點包括以下方面：

?識別經(jīng)驗教訓(xùn)；

?識別并改善信息安全控制的實施；

?識別并改善信息安全風險評估和管理的評審結(jié)果；

?識別并改善信息安全事件管理計劃；

?事件響應(yīng)小組（IRT）評價；

?其他改進。

三、主要試驗[或驗證]情況分析

無。

四、知識產(chǎn)權(quán)情況說明

[相關(guān)知識產(chǎn)權(quán)情況的說明。如果在標準編制過程中識別出標準的某些技術(shù)內(nèi)容涉及專

利，則應(yīng)列出相關(guān)專利的目錄及其使用理由]

無。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

[電子行業(yè)標準必須填寫。對于國家標準如不要求此內(nèi)容可刪除章號和標題]

—

3

六、采用國際標準和國外先進標準情況

[采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，

國內(nèi)外關(guān)鍵指標對比分析或與測試的國外樣品、樣機的相關(guān)數(shù)據(jù)對比情況]

該標準采用最新發(fā)布的國際標準ISO/IEC27035-2:2016《信息技術(shù)安全技

術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃和準備指南》。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

[與相關(guān)的現(xiàn)行法律、法規(guī)和規(guī)章的符合性，特別是與強制性國家標準的協(xié)調(diào)性，以及

與同類標準和標準體系中其他標準的協(xié)調(diào)性說明]

該標準符合我國相關(guān)的現(xiàn)行法律、法規(guī)和規(guī)章。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標準性質(zhì)的建議

[建議是強制性標準還是推薦性標準，對于強制性標準必須列出強制的理由，強制范圍]

建議該標準作為推薦性國家標準發(fā)布實施。

十、貫徹標準的要求和措施建議

[內(nèi)容包括組織措施、技術(shù)措施、過渡辦法、實施日期等]

該標準是信息安全事件管理的通用標準，對于信息安全事件管理的研究、開

發(fā)和實施具有普遍的指導(dǎo)意義。因此，建議所有有信息安全事件管理需求的組織

和人員，遵循GB/T20985《信息技術(shù)安全技術(shù)信息安全事件管理》這套國家

標準開展宣貫、培訓(xùn)和落實，使其融入組織和人員的信息安全日常工作中。

十一、替代或廢止現(xiàn)行相關(guān)標準的建議

[說明廢止和/或替代相關(guān)標準的情況。報批國家標準時，如有相應(yīng)轉(zhuǎn)換、代替、廢止的

電子行業(yè)標準或指導(dǎo)性技術(shù)文件，亦應(yīng)說明]

無。

十二、其它應(yīng)予說明的事項

無。

4

國家標準GB/T20985.2《信息技術(shù)