【国家标准(GB)】 信息技术 安全技术 信息安全事件管理指南

ICS35.040
中华人民共和国国家标准化指导性技术文件GB/Z20985--2007
信息技术
安全技术
信息安全事件管理指南
Information technology-Security techniues-Information security incident management guide(ISO/1EC TR 18014:2001,MOD)
2007-06-14 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2规范作引用文件
3术语和定义
4缔略语
5背号
5.1目标
5.2过程
6信息安全事件管理方案的益处及需要应对的关键问题6.1信息安全瑪件營理方案的益处6. 2关键问题
？规划利准备
信息安全事件管理策略
信息安全事件臀理方案·
信息安全和风险管理策略
ISIRT的建文
技术和其他支持
意识和培训
关键过程的概述
发现和报告
事态/市件评估和决策
响应·
进一步的法律取证分析
经验教训·
确定安全改进·
确定方案改进·
安全风险分析和管理改进
改善安全状况
改进方案
其他改进
GH/%. 20985—2007
GH/.20985——2007
附录A(资料性附录
附录B(资料性附录）
信息安全到态润事件报告单示例信息安全事件评估要点指南示例28
本指导性技术文件与ISO/IFCTR18044:2004的技术性差异及其原因·38附求 C(资料性附录)
参考文献
++++++++++++.+++++++++++++.
.... . 39
GB/l,20985--2007
本指导性技术文件修改采用IS0/IECTR18044:2004《信息技术安全技术信息安企事件替理指南翠。
考虑到我国国家标准的编写要求，以及与其他信息安全事件相关标推技术内容的协调性，本指导性技求文件在采用国际标准时，对部分内容进行了修议。其中，技术性差异用垂直单线标识在它们所涉及的条款的页边空白处。在附录C中给出了技术性差异及其原因的一览农以供参考。本指导性技术文件由全国信息安企标准化技术委员会提出并归口。本指导性技术文件起草单位：中国电子技术标准化研究所、北京同方信息安全股份有限公司、北京知识安全工程中心,北嘉邮电大学。本指导性技术文件主要起草人：上官晓丽.闵京华、赵战生、王连强、徐国爱，CEPIc
GB/z20985—2007
日前，没有任何一种具有代表性的信息安全策略或防护措施，能够对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施，仍可能存在残留的弱点，使得信息安全防护变得无效，从而导致信息安全事件发生，并对组织的业务运行直接或间接产生负面影响。此外，以前米认认识到的威胁也可能会发生。组织如渠对这些事件没有作好充分的应对推备，其任何实际响应措施的效率都会太打折扣，甚至还可能加大潜在的业务负面影响的程度。因此.对于任何一个重视信总安全的组织来说，采用一种结构严谍、计划周全的方法来处理以下工作「分必要：■发现报暂和评宿信息安全非件：，对信息安全弥件做出响应，包括启动适当的件防护措施来预防和降低事件影响，以及从事件影响中恢复(例如·在支持和业务连续性规划方面)；从信息安全填件中吸取经验教训.制定预防措施·并H随着时间的变化，不断改进整个的信息安全事件管理方法。
1范围
信息技术安全技术
信息安全事件管理指南
GB/Z 20985--2007
本指导性技术文件描述了信息安全事件的管理过程。提供了规划和制定信息安全事件管理策略和方案的指南。给出了管理信息安全事件和并展后续工作的相关过程和规程。本指导性技术文件可用于指导信息安全管理者，信息系统、服务和网络管理者对信息安全事件的管理。
2规范性引用文件
下列文件中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡足注日期的引用文件，其随后所有的修改单（不包括勘误的内穿）或修订版均不适用于本指导性技术文件然而，鼓根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件·其最新版本适用于本指导性技术文件。GB/T19716—2005信息技术信息安全管理实用规则（ISO/IEC17799：2000，MOD）GB/2209862007信息安企技术信息安全事件分类分级指南JSO/TFC13335-1:2004信息技术安全技术信息和通信技术安全督理第1部分：信息和通信技术安全管理的概念和模型
3术语和定义
GB/T19716-2005,1SO/IFC13335-12004中确立的以效下列术讲利定义适用于本指导性技术文件。
业务连续性规划husincss continuity planning这样的一个过程，即当有任何意外或有害事件发生，且对基本业务功能和支持要素的连续性造成负面影响时，确保运行的恢复得到保障。该过程还应确保恢复工作按指定优先级，在规定的附间期限内完成，且随后将所有业务功能及支持要紊恢复到正常状态。这一过程的关键要索必须确保具有必要的计划和设施，且经过测试，它们包含信息、业务过程、信息系统利服务，语音和效据道信、人员和物理改施等。3.2
倍息安全事态information securily evenl被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策踏违规或某些防护措施人效，或者--种可能与安全相关但以前不为人知的-种情况。3. 3
信息安全事件infurmationsecurityincident由单个或一系列意外或有害的信息安全事态所组成·极有可能危害业务运行和威胁信息安全。3.4
信息安全事件响应组（ISIRT)Information Security IncidenlResponseFeam由组织具备适当技能耳可信的成员组成的个小纠，负责处理与信息安金事件相美的全工作。1
CB/Z20985-2007
有时，小组可能会有外部专家加人，例如来自一个公认的计算机事件响应组或计算机应急响应组(CERT)的专家。
4缩略语
CERT计筛机应急应组(CamputerEmergencyRespanseTeam)ISIRT信息安全事作响应组（Infurmation SecurityIncidentResponse Team）5青示
5.1目标
作为任何组织整体信息安全战略的一个关键部分，采用一种结构严谨、计划周全的方法来进行信息安全事件的營理至关重要。
这一方法的月标在确保。
·信息安全事态可做极发现并得到有效处理，尤其是确定是否需要将事态归类为信息安全事件”：
·对已确定的信息安牵事件进行评估，环以恰当和最有效的方式做出响应·作为事件响应的一部分，迹过恰当的防护措施：一一可能的话，结合业务连续性计划的相关要素将信感安牵事件对组织及其业务运行的负面影响降至最小；及时总结倍息安全事件及其管理的经验教训。这格增加预防将来信息安全事件发生的机会，改进信息安众办护措施的实施和使用，同时全面改进信息安全事件管理方案。5.2过程
为了实现5.1所球的月标，信息安全事件特理出4个不同的过程组成：规划和准赞iflanandPrepare]：使用(Use):
-评审（Redew)）
·改进lmprave
（注：这些过程与1s>:27001:2005中的\规划（Plan）实随（Do)一检套（Cherk）处（Acet>\过程类）图1显示了上述过程的主要活动。1）应该指出的是，尽管信息安全事念叫能是意外或故意造反信息安企防护措施的企图的结巢，但在多数帽况下信息女全事态本身片不慈味着敲坏安全的企图真正获得了成功.因此也并不一定会对保密性、完整性和/或可用性产生影鸣，也就是说，并兼所有信息安全实态都会被妇美为信息安全事件。2
5. 2. 1规划和准备
规划和准备
2）制定信卫安全非件舒现低略，换役站缓衍理层的承诺定信息安全作件规方来
心）对公司及系线/服务！网络安企进行风附分拆和作理，亚斯策路建证LSIRT
发布信息安全卡舒理意识防银并开腰培训测试信总安全非件舒理方案
检测并报估息安企态
的评估并决楚楚否将事态为前启安全事性c)对信血安全降题出响应。基中据进行法律取证分析审
） 建一步进行法律取证分析
总结经验数
[了确定安个糖改承之处
确定希惠安全事件管理方案的改之处改进
且）改进安全风验分析和舒理评中的特果h）启动耐安全的改进
e）改避自安全事料管理方茶
图1信息安全件管理过程
GB/Z 20985-—2007
有效的信息安全事件管理需要适当的规划和准备。为使信息安全件的响应有效.下列措施是必要的：
制定信您安全事件管理策略并使其成为文件，获得所有美键利益相关人，儿其是高级管理层对策略的可視化承诺；
制定信息安全邦件管理方案并使其全部成为文件，用以支特信息安全享件管理策略。用干发b)
现、报告详估和前应信息安全事件的表单，规程和支持工具.认校事件严重忙衡趾尺度的细节，均应包括征方案文件中应指出·在有此组织中，方案即为信感安全事件响应计划）：重新所有层面的信息安全和风险管理策略，即.全组织范前的.以及针对每个系统、服务和网络r)
的信息安全和风险背理策略，与应根据信息安全事件餐理方案进行更新；确定一个适与的信息安全件管理的组织结构即情息安全事件响成组（ISIRT）.给挪些可调朋的、能够对所有已知的情息安全非件类型作出充分喇应的人员指派明确的角色和责任。在大多数组织中，ISIRT可以是-个虚拟小组，是由-名高级管理人员领导的、得到各类特定主题专业人贵支持的小组，例如，在处理恶意代码攻开时，根据相关事件美型集相关的专业人员：
通过简报和/或其机制使所有的组织成员广解信息安全事作管理方案、方案能带来娜些盗处以及如何报告信息安全其态，施设对管理信息安全邦件管理力案的负责人员.判断信息安全态是否为事件的决策者，以及参与其件调食的人员进行适为培训；2）应该建立“定级\事件严重性的衡卡尺度，例如，可其于对组织业务运行的实际或预期负面影病的程度分为“严重\和\轻商”两个级别
GH/'. 20985—2007
）全面测试信息安全事件管理方案。第7章中对规划和准备阶段作了进一步描述。5, 2. 2使用
下列过程尽使用信息安全事件管理方案的必要过程：a）发现和报告所发生的信息安全态（人为或自动方式)：收集与信息安全事态相关的信息，通过评估这些信息确定哪些事态应归类为信息安全亦件c）对信息安全事件作出响应：
1）立刻，实时或接近实时：
2）如果信息安全事件在控制之下，按要求在相对级和的时间内采取行动（例如，全面开展灾难恢复工作）；
3）如果信息安全那件不在控制之下，发起“危机求助”行动（如唤消防队部门或者启动业务连续性计划)；
将信息安全事件及任何相关的细节传达给内部和外部人员和/或组织（其中可能包括按要求上报以便进一步评估和/或决定）：5)
进行法待取证分析
正确记录所有行动和决定以备进…-步分析之用，6）
了）结束对已经解决串件的处理。第8章中刘使用阶段作了进一步描述，5.2.3评审
在信息安全事件巴经解决或结束后，进行以下评审活动是必要的：a）按要求进行进一步法律取证分析：b）总结信息安全事件中的经验教训：作为从一次或多次信息安全事件吸取经验教训的结果，确定信息安全防护措施实施方面的改避，
d）作为从信息安全本件管理方案质量保证评审（例如根据对过程、规程、报告单利/或组织结构所作的评审）中吸取经验教训的结果，确定对整个信息安全事件管理方案的改进。第9章中刘评审阶段作了进“步描述。5.2.4改进
应该强调的是·信息安全事件管理过程虽然可以反复实施，但随者时间的推移，有许多信息安全要累要经常改进。这些需要改进的地方应该根据对信息安全事件数据，车件响应以及一段时间以来的发展趋势所作评作的基础上提出。其中包括：修订纽织现有的信息安全风险分析和管理评审结架：a免费标准下载网bzxz
b）改进信息安全事件理方案及其相关文档；c）肩动安全的改进，可能包括新的和/或经过更新的信息安全防护措施的实施。第10章对改进阶段作了进步描逆。6信息安全事件管理方索的益处及需要应对的关键问题本章提供了以下信息：
，一个有效的信息安企非件管理方案可带来的益处·使组织高级管理层以及那些提交和接收方案反馈意见的人员信服所必须应对的关键问题。6.1信息安全事件管理方索的益处征何以结构严谨的方法进行信息安全非件肾理的组织均能收效证浅。一个结构严谦，计划期全的信息安全事件管理方案带来的益处，可分为以下几类：4
a）提高安全保障水平：
降低对业务的负面影响，例如由信息安全事件所导致的破坏和经济损失：b)
强化着重预防信息安金事件：
强化调查的优先顺序和证据；
有利于预算和资源合理利用；
改进风险分析和管理评审结果的更新：f)
g）增强信息安全意识和提供培训计划材料；h）为信息安全策略及相关文件的评审提供信息。下面遂一介绍这些主题。
6. 1.1提高安全保障水平
GB/Z20985—2007
一个结构化的发现，报告，评估和管理信息安全事态和事件的过程，能使组织迅速确定任何信息安全事态或事件并对其做出响应，从而通过帮助快逆确定并实施前后一缴的解决方案和提供预防将来类似的信息安全事件再饮发生的方式，来提高整体的安全保障水平。6.1.2降低对业务的负面影响
结构化的信息安全事件管理方法有助于降低对业务潜在的负而影响的级别。这些影响包括当前的经济损失，及长期的声誉和信誉损失。6. 1. 3强调以事件预防为主
采用结构化的信息安全事件管理有助于在组织内创造一个以事件预防为重点的筑围。对与事件相关的数船进行分析，能够确宠事件的模式和趋势，从而便于更确确地对事件重点预防，并确定预防事件发生的适当措施。
6. 1. 4强化调查的优先顺序和证据个结构化的信息安全事件管理方法为信息安全事件调查时优先级的确定提供了可靠的基础。如果没有清晰的调查规程，调查上作便会有根据怖时反应进行的风险，在件发生时才响应·只按照相关管理层的“圾大声音”行事。这样会阻碍调查工作进人真正需要的方面和遵循理想的优先顺序进行。
清晰的件调查规程有助于确保数搬的收集和处理是证据充分的、法律所接受的。如果随后要进行法律起诉战采敢内部处措施的·这些便是重点的考虑事项。然而应该认识到的是，从信息安全事件中恢复所必须采取的措施.可能危害这种收集到的证据的完整性。6.1.5预算和资源
定义明确且结构化的信息安全事件管理，有勘于正确判断和简化所涉及组织部门内的预算和资源分配。此外，信息安至事件替理方案自身的益处还有：*可用技术不太熟练的员工来识别和过滤能假警报，·可为技术熟练员工的工作提供生好的指导：■可技术熟练员工仪用于那些需要其技能的过程以及过程的阶段中：此外，结构化的信总安全事件管理还包括“时间截”从而有可能\定量“评估组织对安全事件的处理。例如，它可以提供信息说期解决处于不同优先级和不同平台的事件需要多长时问。如果信息安全车件管理的过程存在瓶颈，出应该是可识别的。6.1.6信息安全风险分析和管理
结构化的信息安全事件管理方法有助于：：可为识别和确定各种威胁类型及相关脆弱性的特征.收集质量更好的数据，提供有关已识别的戚胁类型发生频率的数据，从信息安全事件对业务运行的负雨影响中获敢的数据，对于业务响分析十分有用。识别各种成胁类发生频率所获取的数据，对威胁评估的质有很大帮助。同样，有关脆弱性的数据对保证将来脆5
+B/7. 20985-2007
弱性评估的质是帮助很大。
这方面的数招将极无地改进信息安全内险分折和督理层话审结果。6。1.7信息安全意识
结构化的信息安全事件算理可以为信息安全意认教行让划提供重要信息。这些重要信息将用实例表明信息安全件确实发生在组织中，而并非“只是发生在别人身上”。它还可能表明，出速提供有关解决方案的信息会带来娜些益处。此外，这种意识行助于赋少员I遵遇信息安全事件时的错误或惊慌/混乱
6.1.8为信总安全策略评审提供信息信息安全件管理方案所提供的数据可以为信熟安全策略（以及其他相美信息安全文件）的有效性评节以及随后的改进提供行价值的邀。这可成用于适合整个组织以及单个系统，服务和阿络的策略和其他文竹。
6.2关链问题
在信息安全事件管理方送中得到的反馈，有助于确保相关人负始终将美注点集中在组织的系统、服务和网络面随的穿际风险上这重要的馈跑让在班件发生时的专门处理是不能有得到的。只有通过使用个结构化的、说针明确的信息安全事件处现管理方案，该方案采用一个适用丁组织所有部分的通用推架，才史有效得到。这样的框架应该能使该方案持续产生史如全面的结果，从而可以在信息安全事件发生之前巡速识别信息安全事件可能出现的情况一一有时，这也被称谁“替报”。信息安全事件管理方案的管理和审核应该能为促进组织员工的广泛参与以及消除各方对保证名性、安全和有用结哭的可用性等方面的担忧-奠定必要的信征基础。例如，曾理和运行人员必须对“等报”能够给出及时，相关精确，简洁和完整的信息充满信心。组织应避免在实施信息安全事件管理方案的过程中可能遵到的问题，如般少存朋结果和对隐私相关间题的关注等。必须使利益相美人相信,组织已终采取措施预防这些问题的发生。闪此，为实现一个良好的信息安全事件管理方案，必须将一些关键问题阐述清楚+这些问题包括：管理凰的承诺：
b）安全总识：
法律法规
d）运行效率和质量：
腰名性：
{）保密性：
g）可信运行：
h）系统化分类。
下面将医--讨论这些向题。
6.2.1管理层的承诺
要使整个组织接受一个结构化的信私安全事件管理方法·保得到管理层的持续承诺，这一点至关重要。组织员工必须能够认识到作行的发生，并用知道放该采取什么行动，其至了解这种事作管理打法可以给纽织带来的益处，然而.除非得到管理层的支持，否则这一-划都不会出现。必须将这·理念灌输给管理层，以使组织对非件响应能力的资源方面和维护！作做山承诺。6.2.2安全意识
对」组织接受“个绪构化的情息安全求件管理方法而·另-个重要的问题是妄全意识，即使要求用参与信息安全事件管理.是用广如来不了解自己以及自己所在部门会从该结构化的信息安全事件筐理中得到哪此益处，他们的参巧很可能不会有太好效果，任何估息安全事件符理方案都成该具有意识计划定义文件，并在文件中规定以下细节：a）组织其员工可以从结构化的信息安全事件管埋中得到的免处；CEPl
b）信息安全事态/事件数据库中的串件信忘其输出GB/Z 20985—2007
提高员工安全意识计划的战略和机制：根据组织的具体情况，它们可能尼独立的，或者是更广泛的指息安全意识教育计划的一部分。6.2.3法律法规
以下与信息安全件“理相关的法律法规间题应在信息安全事件管理策略和相关方案中进行阐述。a）提供适当的数据保护和个人信息隐私。一个纽织结构化的信息安全事件管理，必须考到满足我国在数据保护和个人信息瘾私方面的相关政策，法律法规的要求提供适当的保护，其中可能他括：
1）只要现实，可行,保证可以访问全人数据的人员本身不认识被调查者：2）需要访问个人数据的人贵在被授权访间之前，底签订不泄露协议；3）信息位仅用于获敢它的特是！的-始宿息安全事件调荐。b）适当保留记录。按家辅关规定，组织需要保留适屿的据动记录拥于年度审计，或生成执法所用的挡案（如能激凝严重犯耀或渗透敏感政府系统的征他案件）。有放护措施以确保会阅责任的履行。在要求提供信息安全事件管理服察的合同中，例如，合同中对事件响应时间提出广要求，组织应确保提供适当的信息安全便在任何情况下，这些责任都能得划行。（与之应，如果组织与某外部方等订厂支持合同参见7.5.4）.如CERT，那么，应该确保包括事件瞬时商在内的所有要求均包含在与该外部签订的合同寸。处理与策略和规程相关的法律问题。成应检查与信息安全事件管理方案相关的策略和规程是否存在法荐法规问题，例如，是否有对事件贵任人采取纪律处罚和/或法律行动的有关声明。）检查免资声明的法律有效性。对于有关信息事件管理组以及任何外部支持人惯的行动的所有免贡声明均库捡查其法律有效性。f)
与外部支持人员的合同涵差要求的谷个方面。对于卡任何禁部支持人员（如来方禁CERT)签订的合质，均度就免质，不尴露，务可用性、错误建设的后果等要求进行全面赖查。强制性不泄露协议。必要时，成要求信息安全事件管埋组的成员签订不測露协议。阐明执法要求，根据相关执法机构的要求，对语要提供的信息安全事件管理方案相关的问h)
题，进行明确说明。如，可能需要闻明姬何按法律的最低要求记录事件以及非件文件应保存多长时间。
i）明确责任。必须将替在的负任问题以及应该到位的相关防护措施闹述清楚。以下楚可能与责任间题相关的几个例子：
1）事件可能对射→继织造成影响（如泄露了其享信息）.而该组织却没有及时得到通知从而对其产生负面啦：
发现产品的新脆弱性所改肴通知供应商随后发生与该脆弱性相关的重大事件，给一个或麦个其他组织造成严重影确：
按照国家和关法祥法规，对于豫严重犯罪，或者敏感的政府案统或部分关疑国家集础设施3
被渗透之类案件，组织没有按要求向执法机关抵告或生成档案文件借息的泄露表明某个人或组烈芍攻击相关联。这可能会危害所涉及的个人或组织的止誉1
和业务；
5）信息的温露表明可能是软准的某个环节出「间题们随后发现这并不实。i）阐明具体规章要求。凡是有具体规章要求的地方.都应将事件报省给指走部门，保证司法起诉或内部处罚规程取得成功。无论攻卡是技术性的还是物理的，部应采取适的k）
信息安全防护措施（其中包括可证明数据被算改的中计鉴迹），以使成功起诉攻卡者或者根据内部规程您罚攻者。为了适到目的，就必须以法院或其他处罚机关所接受的方式收集证据。证据必颈显示；
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。