GB/T 20985.2-2020
基本信息
标准号:
GB/T 20985.2-2020
中文名称:信息技术 安全技术 信息安全事件管理第2部分:事件响应规划和准备指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:24645318
相关标签:
信息技术
安全
技术
信息安全
事件
管理
响应
规划
准备
指南
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 20985.2-2020.Information technology-Security techniques-Information security incident management-Part 2: Guidelines to plan and prepare for incident response.
1范围
GB/T 20985.2基于GB/T 20985.1-2017中给出的“信息安全事件管理阶段”模型的“规划和准备”阶段和“经验总结”阶段,给出了规划和准备事件响应以及事后总结经验和改进的指南。
“规划和准备”阶段的要点包括:
信息安全事件管理策略和最高管理者的承诺;
在公司层面以及系统、服务和网络层面都要更新的信息安全策略,其中包括与风险管理相关的信息安全策略;
信息安全事件管理计划;
事件响应小组( IRT)的建立;
建立与内部和外部组织的关系和联络;
技术及其他方面(包括组织和运行方面)的支持;
信息安全事件管理的意识教育和培训;
信息安全事件管理计划的测试。
“经验总结”阶段的要点包括:
经验教训的总结;
信息安全的总结和改进;
信息安全风险评估和管理评审结果的总结和改进;
信息安全事件管理计划的总结和改进;
IRT表现和有效性的评价。
GB/T 20985.2给出的原理是通用的,适用于任何类型、规模或性质的组织。组织可根据其业务的类型.规模和性质,关联信息安全风险状况.调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20985.1-2017信息技术安全技术信息安全事件管理第1部分:事件管理原理(ISO/IEC 27035-1:2016,IDT)
标准内容
ICS35.040
中华人民共和国国家标准
GB/T20985.2—2020
信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南Information technology—Security techniques—Information security incidentmanagement-Part 2: Guidelines to plan and prepare for incident response(ISO/IEC 27035-2:2016.MOD)
2020-12-14发布
国家市场监督管理总局
国家标准化管理委员会
2021-07-01实施
-riKacerKAca-
规范性用文件
术讯和定义、缩略谱
术谱和定义
缩咯语
1信息安全事件管理策咯
相关方
4.3信息安全事件管理策略内容
5信息安全策略史新
策略文档的美联
6制定信息安全事件管理计划
基于共识建立信息安全事件管理计划6.2
参与方
信息安全事件管理计划内容
事件分级标度
事件表单
过程和规程
信征和信心
保密或敏感信息处理
建立事件响应小组·
事件响应小组类型和角色
7.3事件响应小组人员
8建立与其他组织的关系-
概述·
与组织其他部门的关系
与外部利益朴关方的关系
明确技术和其他支持….
技术支持示例
-rrKaeerKAca-
GB/T 20985.2—2020
GB/T 20985.2—2020
其他支持示例
10建立信息安全事件意识和培训测试信息安全事件管理计划
事件响成能力监测
经验总结
识别经验教训
识别并实施信息安全控制措施的收进识别并实施信息安全风险评估和管理评中结果的改进12.5
识别并实施信息安全事件替埋计划的改进12.6
事件响应小组评价
其他改进
附录A(资料性附录)法律法规方而·.·+.+.-
附录B(资料性附录)
信息安全事态、事件和脆弱性报告及衣单示例附录((资料性附录)信息安全事态和事件分类分级方法示例·参考文献
-rrKaeerKa-
GB/T20985《信息技术安全技术信息安全市件管理》分为以下部分:第1部分:件管理原理:
第2部分:事件响应规划和准备指南。本部分为GB/T20985的第2部分。本部分接照(13/11.1一2009给出的舰则起节,GB/T20985.2—2020
本部分使用重新起草法修改采用IS0/1IEC27035-2:2016《信息技术安全技术信息安全事件管
第2部分:市件响应规划和准备指南》。本部分与ISO/IEC270352:2016的技术性差异及H原因如下:一关于规范性引用文件.本部分做厂具有技术性差异的调整.以适成我国的技术条件.调整的情况集中反唤在第2章“规范性引用文件”中,具休调整如下:·用等同采用国际标准的CB/T292462017代背了ISO/IEC27000。范用一章增加了“经验总结\阶段的用途和要点(见第1章)。本部分还做了下列编辑性修收:补充『缩略话\ICT”和\UTC”(见3.2):一增加了资料性引用文件(13/7.20986一2007(见6.1的注和6.5的注):将B.3.2中的脚注改为注(见B.3.2);补充了参考文献ISO22301和IS022313(见参考文献)。请注意本文件的某些内容川能涉及专利。本文件的发布机构不承担识别这些专利的责任,本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口,本部分起草单位:中电长城网际系统应用有限公司、中电数据服务有限公司、中国电了技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、四安丁度网络科技有限公司、陕四省网络与信息安全测评中心、北京江南大安科技有限公司。本部分主要起草人:闵京华、周亚超、干恋莅、上官晓丽、舒敏、陈悦、张屹、干艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直,rKaeerkAca-
GB/T20985.2—2020
GB/T20985属丁信息安全管理体系(IS.MS)系列标准的延仲,聚焦丁信息安全事件管理,2016将其确定为信息安全管理体系的关键成功因素之一。GB/T22080
组织的事件计划与该组织确信已做好市件准备之问川能存在很大差距:因此,GB/T20985的本部分提供指南·以增强组织对信息安全事件响成做好实际准备的信心。为此,本部分关注于事件管埋村关的策略和计划,以及如何建立事件响应小组并通过经验总结和评价不断改进其成效。rrKaeerkAca
1范围
GB/T20985.2—2020
信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南G3/T20985的本部分基于(G13/T20985.1一2017中给出的\信息安全事件管理阶段”模型的\规划和准备”阶段和“经验总结\阶段,给出了规划和准备事件响成以及事后总结经验和改进的指南。“规刻和准备”阶段的要点包括:信息安全事件管理策略和最高管理者的承诺:一在公司层面以及系统、服务和网络层面都要更新的信息安全策略咯,其中包括与风险管理相关的信息安全策略;
信息安全事件管理计划;
事件响应小组(IRT)的建立:
建立与内部和外部组织的关系和联络;技术及其他方面(包括组织和运行方面)的支持:信息安全事件管理的意识教育和培训:信息安全事件管理订划的测试,“经验总结\阶段的要点包括:经验教训的总结:
信息安全的总结和政;
信息安全风险评估和管理评审结果的总结和政进信息安全事件管理计划的总结和收进:一IRT表现和有效性的评价:
本部分给出的原理是通用的,适用丁任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质,关联信息安全风险状况,调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织
2规范性引用文件
下列文件对于本文件的成用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T20985,1一2017信息技术安全技术信息安全事件替理第1部分:事件誉理原理(1S0/1IFC 27035-1:2016.1DT)
GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇(IS0/IEC2700020[6.1DT)
3术语和定义、缩略语
3.1术语和定义
GB/T 29246
62017、GB/T20985.12017界是的以及下列术语和定义适用丁本文件1
-rrKaeerkAca-
GB/T20985.2—2020
用户users
使用事件响应小组(IRT)所提仙服齐的人或组织注:用户可以是纠织内部的或组织外部的。3.2缩略语
下列缩略谱适用于本文件
CD:光盘(compactdisk)
CERT:计算机应急响应小组(computeremergencyresponseteam),有时也被称为事件响应小组(IRT)或计算机安全响应小组(CSIRT)DNS:域名系统(domainnamesystem)DVD:数字多功能光盘(digilalversatiledisk)ICMP:T.联网控制消息协议(internetcontrolmessageprotocol)ICT:信息通信技术(inlormationanl conmunicationstechnology)IDS:人侵检测系统(inirusion detectionsystem))IPv4:互.联网协议第4版(internelprotocol v4)IPv6:互联网协议第6版(internetproiocolv6)IRT:事件响应小组(incidentresponseleam)ISP:五.联网服务提供商imternet serviceprovicler)PoC:联络点(point ol contac1)SMTP:简单邮件传输协议(simplemailtranslerprotocol)SSL:安全套接层协议(securesockelslayerprotocol)TCP:传输控制协议(transmissioncontrolprotocol)TLP:交通灯协议(tralliclightprotocol)TLS:传输层安全协议(iransportlayersecurityprotocol)UDP:用户数据报协议(userdatagrampro1ocol)UTC:协调世界时(coordinated universal tine)WiFi:龙线保真(wireless lidelity)4信息安全事件管理策略
4.1概述
注:第4章对应于GB/T20985.1—2017的5.2n))组织的信息安全事件管理策略宜提供正式文件化的原则和意图用丁指导信息安全事件管理决策并确保其过程和规程等的实施与策略是一致的且相适的任何信息安全件管理策略宜是组织信息安全策略的一部分,也支持上级组织现有使命并符合现有的策略咯和舰程。
组织宜实施信息安全事件管理策略来概述过程、责任人、权威机构以及当信息安全事件发生时的报告路径(特别是报告可疑事件的联络点)。宜定期中查策略.以确保它反映可能影响事件响应的最新组织结构、过程和技术。另外,策略宜概述组织内任何与事件响应相关的意识和培训计划(见第10章)。组织以独立文件的形式文件化其信总安全事态、事件和漏洞的管理策咯,并作为其总体信息安全管理体系策略的一部分(参见B/T220802016的5.2),或作为其信息安全策咯的一部分(参见GB/T220812016的5.1.1):组织的规模、结构和业务性质及其信息安全事件管理计划程度是决定上2
-rrKaeerKAca-
GB/T20985.2—2020
述选项的因素。组织宜为每个具有合法访问信息系统和关地点的人,提供信息安全事件管埋策略指导,
信总安全事件管理策略制定前,纽织宜确定信息安全事件管理的以下方面:a)目标:
b)内部和外部的利益相关方;
需要重点美注的特定事件类型和脆弱性;需要重点关注的任何特定角色;d)
组织的整体利益和部门利益。
4.2相关方
宜作为个企业级过程创建和实施一个成功的信息安全事件管埋策略,为此,所有利益相关方或其代表亢参与策咯制定,从最初规划阶段直到任何过程或响应小组的落实。这可能包括法律顾问、公共关系和营销人员、部门经理、保安人员,系统和网络管理员、信息信技术(IT)人员、服务台人员、「层管理人员,甚至在某些情况下的设施相关人员。组织宜确保其信息安全事件管理策略得到最高管理层的批准,并获得最高管理层所有人员的承诺。确保持续的管埋层承诺对于接受个结构化的信息安全事件管埋方法来说至关重要。人员需要识别事件,知道该做什仆么并理解这一方法对组织的好处,管理层需要为信息安全事件策咯提供支持.以确保红织对提供资源和维护事件响虚能力的承诺信息安全事件管理策略宜提供给每位员工和承包商,并关注信息安全意识教育和培训。4.3
信息安全事件管理策略内容
信总安伞事件管理策咯方是高层的,详细信息和分步指示方包含在红成信息安全事件管理计划的一系列文件中,见第6章所述
组织宜确保具信息安全市件管理策略内容包括(但不限丁)以下方面:策略的目的、目标和范周(包括适用对象和适用情况)。a)
b)策略所有者和中查周期。
信息安全事件管理对组织的重要性和最高管理层对信息安全事件管理的承诺.以及相关计划c)
文档。
安全事件的定义。
安全件类型或类别的描述(或引用有史加深入描述的其他文档)。事件如何报告的描述,包括报告什么·报告采用的机制.以及在哪单和向谁报告g)
事件管现过程流的高层概述或可视化展示(显示安全事件处现的基本步骤)·从发现到报告、信总采集、分析、响应、通告、升级和解决。h)
信息安全事件解决后的活动要求,包括经验总结和过程收近。适当时,跪弱性报告和处理的总结(虽然这可能是一个独立策略义件)i)
为信息安全事件管理过程的每个阶段及相关活动明确的角色、责任和决策机构(适当时.包括脆弱性报告和处理)。
k)对描述事态和事件分类、严重程度评级(如使用)和相关术语文件的引用。亢有一个描述事件组成的概述或引用对此有描述文件。1)IRT概述,包括IRT组织结构、关键角色、责任、权威机构,以及帜责概要.包括但不限丁:1)有关己确认事件的报告和通告要求;关于事件向最高管理层做简要汇报;2
处印询问、推动跟进和解决事件:3
-iiKaeerkAca-
GB/T20985.2—2020
4)联络外部组织(必要时):
5)为确保IRT执行的所有信息安全事件管埋活动得到止确记录供以后分析提出的要求和理由。
对跨组织协同下作来发现、分析和响成信息安全事件的组件的要求。n)
适用时.对任何监替或治理结构及其权力和职责的描述与提供特定外部支持的组织的联系·诸如取证团队、法律顾问、其他IT运营者等o
与信息安全事件管理活动关的法律法规合规要求或授权的概要(史多细节参见附录A)。p)
支持信息安全事件埋过程和相关活动的其他策略、规程和文件的列表和引用。策略中列出q
的许多事项可能有自己史详细的规程或指导文件。此外还有其他相美的策略或规程可支持信息安全事件智理策略,如果适用于组织但还没有·也可作为准备阶段的部分来建立:这包括但不限于:一第6章所述的信息安全事件管理计划一持续监控策略.声明组织采取这种活动,并描述基本监控任务。持续监控确保在需要法律起诉或内部纪律处分时电子证的保全。一对IRT的授权,以使有来自其他操作部分的需要时能够访问监控输出或请求访问日志(本条也可放人信息安全事件管埋策略):一信息共享、信息披露和沟通策略,概迷事件管理活动相关信息如何、何时和与谁共享:信息宜保密,只能根据相关法律行披露:在许多情况下,法规要求任何个人可识别信息被泄露时都需要告知受影的各方。除广法律要求,信息也宜遵组织对信息被露的任何要求:在事件处理过程中,当引入或变史第三方时,信息需要被共享:信息共享的范围、环境和目的需要在适当的策略和规程中得到描述或引用:使用交通灯协议(TLP)是信息披露指导和标记的例子。
信息存储和处理策略,要求记录,数据以及具他调查相关数据被安全地存储开根据具敏感性迎行相应地处理:如果组织有义件标签或分类模式,这一策略对信息安全事件管理活动和人员来说也很重要。
一IRT章程,详细说听IR工要做什么和具操作权限,至少、章程宜包括使命陈、IRT范用的定义、IRT的最高管理层发起者细节、IRT的权限、IRT的联系信息、IRT的服务和核心活动列表、IRT的权限和操作的范用、IRT的目的和目标,以及有关任何治理结构的讨论:·团队的目标和的非常重要.需要清晰、明确的定义,,IR工的范围通常涵盖了所有组织的信息系统、服务和网络:在某些情况下,组织可以要求范围不同(扩大或缩小),在这种情况下,它宜清楚地记录范围内和范围外分别是什么。IRT治理可能包括识别具有对IRT有决策权力和建立权限等级的执行官、董事会成员或总经理。知道这一点有助于组织内所有人员了解IRT的背景和建立,这些信息对在IRT中建立信任是至关重要的,宜注意的是,详细信息公布之前,宜从法律的角度予以中查。在某些情况下,团队权限的披露会使其百接面对责行要求。信息安全事件管理意识和培训计划概述,宜包括任何对全体人员意识培训和对IRT成员件管理培训的培训任务、政策或要求5信息安全策略更新
5.1概述
注:第5章对应于GT3/T20985.1—2017的5,2bh)组织宜在整体层面以及具体的系统、服务和网络层面将信息安全事件管理内容包含在其信息安全4
riKacerKAca-
策略巾,并将这些内容关联到事件管埋策略:这种整合宜针对如下日标:GB/T20985.2—2020
a)描述为什么信息安全事件管埋很重要,尤其是信息安全事件报告和处埋计划:b)表明最高管埋层对需要做好适当的信息安全事件准各和响成(即信息安全事件管埋计划)的承诺;
确保各种策略的致性:
d)确保有计划地、系统地和沉者地响应信息安全事件,从而最小化事件的负而影响,美于信息安全风险评估和管理的指导,参见GB/T31722一2015:5.2策略文档的关联
组织宜史新和维护企业级信息安全和风险管理策略,配上具体的系统、服务或网络的信息安全策略,以确保它们是一致的和最新的。这些企业级策略宜明确地关联到信息安全事件管理策略和相关计划
企业级策略宜包括需要建立适当中查机制的要求。这些审查机制需要确保来白发现、监控和解决信息安全事件的信息·以及来白处理被报告的信息安全脆弱性的信息·为维扩策略持续有效性的过程提供输人:
6制定信息安全事件管理计划
6.1概述下载标准就来标准下载网
注:第6章刘应」G13/T20985.1—2017的5,2)信息安全事件管理计划的目标是将信息安全事态、事件和脆弱性的处理活动和规程以及它们之问的沟通形成支件:该计划源丁也是基丁信息安全市件管理策略总体而言,该计划的文档宜包含多个文件:包括用丁信息安全事件的发现和报告、评估和决策、响应和经验总结的衣单、规程、组织要素和支持工具该计划川以包括事件管理活动基本流程顶层概要,来提供结构和指针指向计划的各种纠节组件,这些组件为事件处理者提供要遵循的分步指示,包括根据情况使用特定的工具、遵循特定的流程或处理特定类型的事件。
一日发现信息安全事态或收到信息安全脆弱性报告时,信息安全事件管理计划使开始生效。组织使用该计划指导以下事项:a)响应信息安全事态:
判断信息安全事态是否成为信息安全件:b)
管理信息安全事件直到结束;
应对信息安全脆弱性:
对报告事件的要求:
在整个事件管理过程中,对存诺信息(包括其格式)的要求:g)与内外部的团体或组织共亨信息的规则和环境:识别经验教训,以及任何对计划和(或)安全所需的改进;h)
实施已识别的改进。
事件响应计划的规划和准备宜由过程贡任名承担,基于信总安全事件管理策咯定义范国的事件响应的一个或多个明确的标。
6.2基于共识建立信息安全事件管理计划本部分为信息安全事件管理策略制定提供建议。然而,在没有相关的指导方或标准、现行法律或5
iiKaeerkAca-
GB/T 20985.2—2020
其他权威来源的情况下,事件管理规划过程宜基于共识,以确保有效的运行、沟通和与外部组织的关系。术语和定义宜在R工成员和伙伴组织之问加以规范,包括组织和团队的名称和标识,信息资产,业务过程等,当术请有难度或容易误解时.事件管理计划宜在个词汇表中包括标准术和定义,件管理过程责任者宜定义角色及与外部IR工和其他响应组织的关系,以及响应活动的结构和边界。参与各方的责任可能重叠,宜在事件管理规划过程中基于共识进行调整,当在事件相应决策边界上有重叠时,计划宜确定责任方。参与方和外部IRT经常有不同的度量体制。计划参与名评价米白各白当事方或外部组织的可用度量体制,或者在现有度量体制的特是集合上送成共识,或者同意使用可逆映射来链接不同的度量体制。不管采用怎样的方法,定通过选择或连接定量度量体制的计划,使不同度量体制的范围相同,并Ⅱ选择或连接完全等价定性度量体制。6.3参与方
组织宜确保信息安全事件管理计划是被全员以及相关承包商、IT服务提供商、电信供应商和外包公司承认的,因此涵盖以下职责:a)发现和报告信息安全事件(这是组织中仆何长久人员或合同人员的责任):h)评估和响应信息安全事态和事件,参与事件后的解决活动·包括总结经验,并改进信息安全和信息安全事件管理计划本身(这是PoC成员、IRT、管理者、公关人员和法定代表人的责任);c)报告信息安全脆弱性(这是组织中任何长久人员或合同人员的责任)。该计划还宜考虑任何第三方用,以及由第三方组织、政府和商业性信息安全事件与脆弱性信息提供组织报告的信息安全事件和相关脆弱性。参与各方被期望积极参与处班信息安全事件.因此亢对角色和职责做出清晰的划分·并使每个人都意识到其角色和帜责:角色划分宜伴有约定的事件切换协议,以使以合理的方式近行信息交换:如果适当并可能,宜白动化事件切换和信息交换米提高这个过程的速度。如果组织或IRT的某些能力外包给第一方,则能出现这种场景。:这种场景的实例有,当组织使用第方运行的云系统时,或者当第方为组织进行数字取证时,或者在事件处理过程中与服务提供一起工作时。6.4信息安全事件管理计划内容
在规划和准备过程考虑特定件类型和相应的响应过程之前,宜定义和审核支持预期管理阶段的关键决策准则和过程。这需要有可用的策略,对资产和控制的正式或非正式的理解,并获得参与者和管埋者的支持。
信息安全件管理计划的内容宜包括概述以及详细的活动说明。如上所述,计划文档宜山包括表单、规程、组织要素和支持工具等多个义档组成。详细的活动、规程和信息宜关联到以下方面:a)规划和准备,包括:
1)标准化的信息安全事态/事件分类分级方法,以使能够提供致的结果。在任何情况下,决策宜基于对组织的业务运营造成的实际或预期不利影响以及相关指南。注:GB/Z20986—2007给出了信息安个事态和事件的分类分级方法,附录C还给出了其他方法示例,2)为信息交换而构造的信息安全数据库结构可能提供以下方而的能力:其享报告/预警,比较结果,改进预警信息,以及更准确地看待信息系统面临的威胁和存在的脆弱性。数据库的实际格式和使用取决于组织的需求。例如,个非常小的组织可能使用各种文件,而:个复杂的组织可能使用史复杂的技术,诺如关系数据库和应用上具:有关决定每个相关过程中是否需要升级,升级给谁以及相关规程的指南。基于信息安全3)
件管理计划中提供的指南,评估信息安全态、件或脆弱性的任何人宜知道在哪种情况下有必要升级,以及它升级给谁。此外,有不可预见的情况下这种升级可能是必要的,iKaeerkAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。