网络安全技术 事件调查原则和过程.pdfVIP

网络安全技术事件调查原则和过程

1范围

本文件基于通用模型，为各种事件调查场景下涉及数字证据的调查提供指南，包括从事前准备到调

查结束的各个过程，以及对过程实施的建议和注意事项。本文件描述了事件调查的过程和原则，包括但

不限于未授权访问、数据损毁、系统崩溃或企业网络安全违规，以及任何其他事件调查活动。本文件不

提供对每项调查活动实施原则和过程的具体描述。

本文件适用于指导各类组织开展网络安全事件调查。

2规范性引用文件

下列文件在本文件中作了规范性引用，对本文件的应用是必不可少的。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T29246—2023信息安全技术信息安全管理体系概述和词汇

GB/T25069—2022信息安全技术术语

3术语和定义

GB/T25069—2022、GB/T29246—2023界定的以及下列术语和定义适用于本文件。

3.1

获取acquisition

〈调查取证〉在界定的集合之内创建数据副本的过程。

注：获取过程的产出是潜在数字证据的副本。

[来源：GB/T25069—2022，3.257]

3