网络安全技术 网络安全事件管理 第2部分：事件响应规划和准备指南 编制说明.docx

1

《网络安全技术网络安全事件管理第2部分：事件响应规划和准备指南》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2024年下达的国家标准制修订计划，《网络安全技术移动互联网未成年人模式技术要求》由国家计算机网络应急技术处理协调中心负责承办，计划号：202XXXXX-T-469。本标准由全国网络安全标准化技术委员会归口管理。

1.2制定背景

网络安全事件管理是组织信息安全战略的重要组成部分，有助于提升组织及时发现并有效应对各类信息安全事件。“规划和准备”以及“经验总结”作为网络安全事件管理过程中的两个阶段，有必要在《网络安全技术网络安全事件管理》第1部分的基础上，为各类组织（也包括中小型企业、提供网络安全事件管理服务的外部组织）提供具体的指南，以指导组织构建及更新网络安全管理策略、制定网络安全管理计划、建立事件管理小组并强化与内外部组织联系、识别并开展必要的改进。

本标准旨在通过提供网络安全事件响应的规划和准备以及从事件响应中吸取教训的详尽的指南，指导组织更好地开展网络安全事件管理各项活动。本部分为《网络安全技术网络安全事件管理》系列标准的第二部分。

1.3起草过程

2024年2-3月，组建标准起草组，编制标准草案。

2024年6月，在TC260WG5工作组进行标准立项答辩，对标准内容和结构进行评审，根据专家评审意见修改文稿。

2024年7月，参加TC260组织的专家评审会，根据专家评审意见修改文稿。

2024年12月，海口会议周参加TC260WG5工作组会议，建议推进至征求意见稿。

2025年1月，召开起草组会议，根据会议周期间，收到的意见，修改文稿，形成征求意见稿。

2025年2月，参加TC260组织的专家评审会，根据专家评审意见修改文稿。

2

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准为修改采用，采用过程中，将清楚地标明国际标准之间存在技术性差异以及解释其产生的原因，与国际标准在文本结构上对应，并进行编辑性修改。

2.2主要内容及其确定依据

（一）主要内容

本标准拟修订GB/T20985.2-2020《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》，为GB/T20985.1提出的网络安全事件管理过程中“规划和准备”和“经验总结”阶段提供实施指南。

“规划和准备”阶段的要点包括：

——信息安全事件管理策略和最高管理者的承诺；

——在公司层面以及系统、服务和网络层面都要更新的信息安全策略，其中包括与风险管理相关的信息安全策略；

——信息安全事件管理计划；

——事件管理小组（IMT）的建立；

——建立与内部和外部组织的关系和联络；

——技术及其他方面（包括组织和运行方面）的支持；

——信息安全事件管理的意识教育和培训。

“经验总结”阶段的要点包括：

——识别改进的方面；

——识别并开展必要的改进；信息安全的总结和改进；

——事件管理小组（IMT）的评价。

本部分给出的原理是通用的，适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质，关联信息安全风险状况，调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织。

（二）确定依据

本项目为推荐性国家标准修订项目，为国际标准采标，采标程度为修改采用（MOD），采标号及名称为：ISO/IEC27035-2:2023《Informationtechnology—Informationsecurityincidentmanagement—Part2:

3

Guidelinestoplanandprepareforincidentresponse》。

修订标准号及名称为：GB/T20985.2—2020《信息技术安全技术信息安全事件管理第2部分：事件响应规划和准备指南》。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

拟修订的主要内容包括：增加了新角色及其职责，包括事件管理小组、事件协调者等；修改漏洞管理的内容；6.7增加了推荐组织开展的内容；

重新组织第7章结构；附录C.3删减等。

修订理由：采标的国际标准ISO/IEC27035-2已于2023年完成第二次修订并发布为ISO/IEC27035-2:2023。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益

3.1试验验证的分析、综述报告

尚未开展标准试点验证。

3.2技术经济论证

标准编制过程中国内主要的网络安全产品厂商均深度参与标准研制进程，