引言

關于GB/T 20985

僅靠信息安全策略或控制不能保證信息、信息系統、服務或網絡得到完全保護。即使采取了控制，仍可能存在殘留的脆弱性，使信息安全效果降低，使信息安全事件易于發生，對組織的業務運行存在直接和間接的潛在負面影響。此外，以前未識別的新威脅將不可避免發生。若組織對處理這種事件未做好充分準備，將使任何響應的效果變差，卻使對業務的潛在負面影響增加。因此，對于任何期望具有強健信息安全計劃的組織，采用結構化和有計劃的方法來開展如下活動十分必要：

— 發現、報告和評估信息安全事件；

— 響應信息安全事件，包括啟動適當的控制來防止和降低影響并從中恢復；

— 報告信息安全脆弱性，以便對其進行評估和適當處理；

— 從信息安全事件和脆弱性中汲取經驗教訓，建立預防性控制，并改進整體信息安全事件管理方法。

為實現這種有計劃的方法，GB/T 20985的如下部分在信息安全事件管理方面提供相應指南：

— GB/T 20985.1《事件管理原理》（本文件）給出了信息安全事件管理的基本概念和階段，以及如何改進事件管理。這部分將這些概念與結構化方法的原理相結合來發現、報告、評估和響應事件，并進行經驗總結。

— GB/T 20985.2《事件響應規劃和準備指南》描述如何規劃和準備事件響應。這部分涵蓋了GB/T 20985.1中所給事件管理模型的“規劃和準備”和“經驗總結”階段。

與其他標準的關系

GB/T 20985旨在對其他給出信息安全事件調查及調查準備指南的標準和文件進行補充。GB/T 20985并不是全部指南，而是某些基本原理的參考，旨在確保選擇適當的工具、技術和方法并用于所需目的。

GB/T 20985涵蓋信息安全事件管理的同時，也涵蓋了信息安全脆弱性的某些方面。ISO/IEC 29147和ISO/IEC 30111分別對脆弱性披露和供應商處理脆弱性提供了指南。

對于需要確定呈現在其面前的數字證據可靠性的決策者，GB/T 20985還意在提供指導。它適用于那些需要保護、分析和展示潛在數字證據的組織。它與創建和評價數字證據相關規程的策略決策機構相關，這些機構通常作為更大證據機構的組成部分。

有關調查類標準的進一步信息，參見附錄A。