GB/T 20985.1-2017
Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности. Часть 1. Принципы управления инцидентами. (Англоязычная версия)

Стандартный №: GB/T 20985.1-2017
язык: Китайский, Доступно на английском
Дата публикации: 2017
Разместил: General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China
Последняя версия: GB/T 20985.1-2017
заменять: GB/Z 20985-2007

сфера применения

Развитие стандарта и основные изменения

Версия	Тип стандарта	Основные технические изменения
GB/Z 20985-2007	Руководящий технический документ	Включая терминологию планирования непрерывности бизнеса, 4-этапный процесс управления
GB/T 20985.1-2017	Рекомендуемый национальный стандарт	Добавляет 5 новых терминов, расширяет модель управления до 5-этапной

Подробное объяснение пяти фаз управления инцидентами

1.

Создание IRT (группы реагирования на инциденты) и разработка плана управления, включающего стратегию коммуникации. Основные действия включают:

Разработка стратегии управления инцидентами и получение поддержки от высшего руководства

Разработка систем поддержки и учебных курсов

Проверка эффективности плана управления

2. Обнаружение и отчетность

Мониторинг необычной активности с помощью системы ситуационной осведомленности и разработка стандартизированных процедур отчетности. Ключевые направления:

Анализ системного журнала и сканирование уязвимостей

Требования соответствия к сохранению доказательств

Классификация инцидента (ложная тревога/потенциальный инцидент)

3. Оценка и принятие решений

Используйте многоуровневую матрицу оценки для определения уровня инцидента. Дерево решений включает:

Оценку области воздействия (измерение актива/бизнеса)

Определение приоритета реагирования

Условия запуска механизма эскалации

4. Реагирование и утилизация

Выполнение стандартизированного реагирования, включая цифровую криминалистику:

Стратегия сдерживания (изоляция/очистка трафика)

Меры по искоренению (установка исправлений/восстановление конфигурации)

Процесс проверки восстановления

5. Извлеченные уроки

Достижение непрерывного совершенствования посредством цикла PDCA:

Реконструкция и анализ временной шкалы событий

Обзор эффективности мер контроля

Механизм обновления базы знаний

Рекомендации по внедрению

Решение по адаптации для малых и средних предприятий: IRT можно упростить до виртуальной команды, сосредоточившись на централизованном анализе журналов и основных планах реагирования. См. упрощенную таксономию в Приложении C.

Дополнительные требования к критической инфраструктуре: Необходимо создать круглосуточный центр мониторинга и канал обмена информацией с Национальным CERT.

GB/T 20985.1-2017 Ссылочный документ

ISO/IEC 27000 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь [Стандарт на французском языке]*， 2018-04-01 Обновление
ISO/IEC 27035-2 Информационные технологии. Управление инцидентами информационной безопасности. Часть 2. Руководящие указания по планированию и подготовке к реагированию на инциденты.*， 2023-02-13 Обновление

GB/T 20985.1-2017 История
2017 GB/T 20985.1-2017 Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности. Часть 1. Принципы управления инцидентами.
2007 GB/Z 20985-2007 Информационные технологии. Методы обеспечения безопасности. Руководство по управлению инцидентами информационной безопасности.
GB/T 20985.1-2017 Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности. Часть 1. Принципы управления инцидентами. было изменено на GB/Z 20985-2007 Информационные технологии. Методы обеспечения безопасности. Руководство по управлению инцидентами информационной безопасности..

Специальные темы по стандартам и нормам

инцидент безопасности Информационные технологии Информационная безопасность информационное мероприятие Управление событиями инцидент информационной безопасности Система управления информационной безопасностью Управление инцидентами информационной безопасности

стандарты и спецификации

GB/Z 20985-2007 Информационные технологии. Методы обеспечения безопасности. Руководство по управлению инцидентами информационной безопасности. GB/Z 20986-2007 Технология информационной безопасности.Методические указания по категории и классификации инцидентов информационной безопасности. GB/T 32924-2016 Руководство по раннему предупреждению сетевой безопасности технологий информационной безопасности GB/T 22080-2016 Информационные технологии.Техники обеспечения безопасности.Системы управления информационной безопасностью.Требования. GB/T 22080-2025 Требования к системе управления информационной безопасностью в области кибербезопасности GB/T 20985.2-2020 Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности. Часть 2. Рекомендации по планированию и подготовке к реагированию на инциденты. YD/T 6360-2025 Технические требования серверного шкафа центра обработки данных облака GB/T 25068.3-2022 Информационные технологии. Методы обеспечения безопасности. Сетевая безопасность. Часть 3. Угрозы, методы проектирования и контроль сценариев доступа к сети. YD/T 6415-2025 Спецификация оценки рисков обеспечения безопасности данных в промышленной сфере GB/T 36635-2018 Технология информационной безопасности. Основные требования и руководство по реализации мониторинга сетевой безопасности. GB/T 30270-2024 Технология сетевой безопасности Метод оценки безопасности информационных технологий

GB/T 20985.1-2017 - Все части

GB/T 20985.1-2017 Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности. Часть 1. Принципы управления инцидентами. GB/T 20985.2-2020 Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности. Часть 2. Рекомендации по планированию и подготовке к реагированию на инциденты.