网络安全技术　事件调查原则和过程编制说明.pdfVIP

国家标准《网络安全技术事件调查原则和过程》

（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2025年下达的国家标准制修订计划，《网络安全

技术事件调查原则和过程》由中国网络安全审查认证和市场监管大数据中心负

责承办，计划号T-469。本标准由全国网络安全标准化技术委员会归

口管理。

1.2制定背景

网络安全事件调查是网络安全保障的重要手段和环节。《网络安全法》第五

十五条明确指出“发生网络安全事件，应当立即启动网络安全事件应急预案，对

网络安全事件进行调查和评估”。中央网信办发布的《国家网络安全事件应急预

案》《网络安全事件报告管理办法（征求意见稿）》等，均对网络安全事件调查

做出相关规定。

在网络安全事件方面，我国已形成了事件管理、事件描述和交换格式、事件

应急演练、事件分类分级等相关国家标准，但尚缺乏针对事件调查的国家标准。

为此，有必要借鉴国际上普遍适用的事件调查原则、过程、方法和最佳实践，

形成适应我国国情的事件调查标准。

1.3起草过程

标准制定的主要工作过程如下：

1）立项申请

2024年2月至4月，标准编制组启动标准制定工作，对国内网络安全事件

调查相关情况进行调研，收集国内外相关领域的文件资料，翻译ISO/IEC

27043:2015信息技术安全技术事件调查原则和过程，形成标准草案。按照全

国网安标委2024年国家标准项目申报要求，提交了标准制定项目立项申请。

2024年6月，标准编制组在全国网安标委会议周WG7进行立项汇报并通过。

会后，根据WG7成员单位意见组织讨论并继续完善草案内容。

1

2）草案完善

2024年7月，在北京参加全国网安标委组织的标准立项专家评审。7月至

11月，根据专家评审意见对标准草案进行修改。

2024年11月，根据《全国网络安全标准化技术委员会关于2024年44项网

络安全国家标准项目立项的通知》（网安字〔2024〕21号）发布的通知，本标

准获批为2024年网络安全标准制定项目。

2024年11月，征集标准编制单位，共收集37单位提交的申请材料并对申

请的参编单位进行了遴选。

2024年12月，标准在全国网安标委会议周WG7进行了汇报，经成员单位

投票，建议推进至征求意见稿阶段。

3）征求意见稿阶段

2025年1月至3月，根据WG7成员单位意见，对标准文本进行修改。

2025年3月至5月，编制组召开多次项目组讨论会，对标准内容进行研讨

和完善，并征集标准试点单位，编制试点工作方案。

2025年6月，在北京参加全国网安标委秘书处组织的征求意见稿专家评审，

根据专家评审意见对标准草案进行修改。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准为修改采用国际标准。在准确翻译已有国际标准的基础上，结合我

国网络安全事件调查实际，根据存在的技术差异对部分内容进行了修改。

2.2主要内容及其确定依据

（一）主要内容

本标准基于通用模型，为各种事件调查场景下涉及数字证据的调查提供指

南，包括从事前准备到调查结束的各个过程，以及对过程实施的建议和注意事项。

本标准描述了事件调查的过程和原则，包括但不限于未授权访问、数据损毁、系

统崩溃或企业网络安全违规，以及任何其他事件调查活动。本标准不提供对每项

调查活动实施原则和过程的具体描述。

本标准主要包括以下内容：

——第一章：范围。目的在于规定本标准的适用范围、对象。

2

——第二章：规范性引用文件。

——第三章：术语和定义。

——第四章：符号和缩略语。

——第五章：数字调查原则。明确了数字调查的一般原则和法律原则。

——第六章：数字调查过程。对数字调查过程进行了概述，给出了就绪过

程类、初始化过程类、获取过程类、调查过程类、并行过程类的基本内容。

——第七章：就绪过程类。介绍了场景定义过程、潜在数字证据源识别过

程等12个过程，给出了过程实施的建议和