《信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理-编制说明》

一、任务来源

根据国家标准化管理委员会下达的2013年国家标准制修订计划，国家标准

GB/Z20985—2007《信息技术安全技术信息安全事件管理》修订由中国电子

技术标准化研究院主办，中电长城网际系统应用有限公司、中国信息安全研究院

有限公司等单位参与，标准计划号为20130333-T-469。

二、任务背景

2007年发布的国家标准GB/Z20985—2007《信息技术安全技术信息安

全事件管理》修改采用国际信息安全标准化组织ISO/IECJTC1SC27于2004年

10月15日发布的国际标准ISO/IECTR18044:2004《信息技术安全技术信

息安全事件管理（Informationtechnology—Securitytechniques—

Informationsecurityincidentmanagement）》。

2008年4月16日，ISO/IECJTC1SC27提出修订ISO/IECTR18044:2004，

以确保与ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要

求》和ISO/IEC27002:2005《信息技术安全技术信息安全管理实用规则》

完全兼容，并将标准类型由TR改为IS，同时纳入ISO/IEC27000系列标准，标

准编号为ISO/IEC27035，项目编号为1.27.71，我国专家为联合编辑。2011年

9月1日，ISO/IEC27035:2011《信息技术安全技术信息安全事件管理》（第

一版）正式发布。

2012年2年8日，ISO/IECJTC1SC27提出提早修订ISO/IEC27035:2011，

并将标准分为三部分，包括ISO/IEC27035-1《第1部分：事件管理原理》（我

国专家为编辑）、ISO/IEC27035-2《第2部分：事件管理准备指南》（后更名为

《第2部分：事件响应规划和准备指南》）和ISO/IEC27035-3《第3部分：CSIRT

操作指南》（后更名为《第3部分：事件响应操作指南》）。2016年11月1日，

ISO/IEC27035-1和ISO/IEC27035-2正式发布，而ISO/IEC27035-3因内容不

足回退到同名研究期项目“事件响应操作指南”继续开发。

考虑到国际标准的发展形势，决定将GB/Z20985—2007标准修订由原定的

等同采纳ISO/IEC27035:2011改为等同采纳最新发布的ISO/IEC27035-1:2016，

并将标准编号由GB/Z20985改为GB/T20985-1。

1

三、编制原则

等同采用：基于目前国内对国际信息安全管理体系（ISMS）标准族相关标

准的研究和转化情况，以及我国整体信息安全管理理论和技术发展现状，决定等

同采用国际标准ISO/IEC27035-1:2016《信息技术安全技术信息安全事件

管理第1部分：事件管理原理》。

准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表

达原意。

语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。

四、主要工作过程

1、2013-2014年，课题组持续跟踪研究国际标准ISO/IEC27035-1进展，

闵京华博士作为该国际标准编辑，全程积极主导了该国际标准制定工作，同时组

织国内相关专家对标准制定思路和发展趋势进行研究分析。

2、2015年，ISO/IEC27035-3在各成员国征集贡献，课题组组织国家互联

网应急中心等单位，启动研究信息安全事件响应等国际标准提案，数次讨论研究，

初步确定信息安全事件响应国际提案研究思路。

3、2016年4月26日，我国专家担任编辑的ISO/IEC27035-1《信息技术

安全技术信息安全事件管理第1部分：事件管理原理》国际标准最终草案

（FDIS）全票通过，顺利进入正式发布阶段。因此，为适应国际标准的发展，决

定将所转国际标准由ISO/IEC27035:2011改为ISO/IEC27035-1。

4、2016年5月至10月，研究和翻译ISO/IECFDIS27035-1《信息技术安

全技术信息安全事件管理第1部分：事件管理原理》，并形成GB/T20985-1

《信息技术安全技术信息安全事件管理第1部分：事件管理原理》草案（第

一稿）。

5、2016年11月1日，ISO/IEC27035-1《信息技术安全技术信息安全

事件管理第1部分：事件管理原理》国际标准正式发布。

6、2016年12月，形成等同采用ISO/IEC27035-1:2016的GB/T20985-1

《信息技术安全技术信息安全事件管理第1部分：事件管理原理》征求意

见稿。

7、2016年12月22日，信安标委WG7组织了专家审查会。12月25日，根

据会上专家意见对征求意见稿第1稿进行修改完善，形成征求意见（中英文对照）

2

第2稿，同时更新编制说明和意见汇总表。

五、主要内容

GB/T20985-1《信息技术安全技术信息安全事件管理第1部分：事

件管理原理》提出了信息安全事件管理的基本概念和阶段，并将这些概念与一种

结构化方法中的原理相结合来发现、报告、评估和响应事件，以及进行经验总结。

GB/T20985-1内容目次如下：

前言

引言

1范围

2规范性引用文件

3术语和定义

4概述

4.1基本概念和原理

4.2事件管理目标

4.3结构化方法的益处

4.4适应性

5阶段

5.1概述

5.2规划和准备

5.3发现和报告

5.4评估和决策

5.5响应

5.6经验总结

附录A（资料性附录）与调查性标准的关系

附录B（资料性附录）信息安全事件及其起因示例

附录C（资料性附录）GB/T22080与GB/T20985对照表

参考文献

六、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

该标准所给出的信息安全事件管理原理是通用的，适用于任何类型、规模

或性质的组织。组织可根据其业务的类型、规模和性质，关联信息安全风险状况，

3

调整该标准给出的指南。

七、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

该标准等同采用最新发布的国际标准ISO/IEC27035-1:2016《信息技术安

全技术信息安全事件管理第1部分：事件管理原理》，力争做到与所采用的

国际标准同步发布。

八、与有关的现行法律、法规和强制性国家标准的关系

该标准符合我国现行的法律、法规和强制性国家标准。

九、重大分歧意见的处理经过和依据

尚无。

十、国家标准作为强制性国家标准或推荐性国家标准的建议

建议该标准作为推荐性国家标准发布实施。

十一、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法

等内容）

该标准是信息安全事件管理的基础标准，对于信息安全事件管理的沟通、

研究、开发和实施具有普遍的指导意义。因此，建议在信息安全事件管理相关的

所有人员中进行宣贯和培训。

十二、其他