《GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南》12月1日实施【附下载】

标准号：GB/T 20986-2023
中文标准名称：信息安全技术 网络安全事件分类分级指南
英文标准名称：Information security technology—Guidelines for category and classification of cybersecurity incidents
标准状态：即将实施
发布日期：2023-05-23
实施日期：2023-12-01
主管部门：国家标准化管理委员会
发布单位：国家市场监督管理总局、国家标准化管理委员会


文件下载：微信添加anjie067, 备注GB/T 20986-2023


01  前言

本文件代替GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》,与GB/Z20986一2007 相比,除结构调整和编辑性改动外，主要技术变化如下：

    由指导性技术文件GB/Z更改为推荐性国家标准GB/T;
    更改了“范围”的表述;
    在“术语和定义”中,更改了“信息系统”的定义；
    更改了“缩略语”,删除了原缩略语内容,增加了新的缩略语“APT、GP、DDOS、DNS、IP、WLAN”等;
    在“网络安全事件分类”中,更改了“分类方法”的表述,将网络安全事件的分类由7类增加至10类；
    在“网络安全事件分级”中,将“信息系统”更改为“事件影响对象”；
    为便于信息通报、事件研判等应用,增加了“附录B”,给出了事件分类代码。


02  文件的目的

    利于安全事件数据的收集和分析;
    利于识别安全事件的严重程度;
    促进安全事件信息的交换和共享;
    便于实现安全事件的自动化报告和响应;
    提高安全事件通报和应急处置的效率和效果。


03  文件范围

    描述了网络安全事件分类和分级的方法，界定了网络安全事件类别和级别,并明确了网络安全事件分类代码。
    适用于网络运营者以及相关部门开展网络安全事件研判、信息通报、监测预警和应急处置等活动。


04  网络安全事件分类

综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素，对网络安全事件进行分类,分为10类,每类之下再分若干子类：

    恶意程序事件；
    网络攻击事件；
    数据安全事件；
    信息内容安全事件；
    设备设施故障事件；
    违规操作事件；
    安全隐患事件；
    异常行为事件；
    不可抗力事件；
    其他事件。


05  网络安全事件分级

    网络安全事件按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素进行分级。事件影响对象主要包括信息系统、通信网络设施和数据等。

    网络安全事件分为4个级别：特别重大事件、重大事件、较大事件和一般事件，由高到低分别为一级、二级、三级和四级。

5.1 特别重大事件(一级)
特别重大事件发生在特别重要的事件影响对象上，并且:
a)导致特别严重的业务损失，或造成特别重大的社会危害。

5.2 重大事件(二级)
重大事件发生在特别重要或重要的事件影响对象上,并且:
a)导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重的业务损失,或
b)造成重大的社会危害。

5.3 较大事件(三级)
较大事件发生在特别重要或重要或一般的事件影响对象上,并且:
a)导致特别重要的事件影响对象遭受较大或较小的业务损失,或重要的事件影响对象遭受严重或较大的业务损失,或导致一般的事件影响对象遭受较大(含)以上级别的业务损失,或造成较大的社会危害。

5.4 一般事件(四级)
一般事件发生在重要或一般的事件影响对象上，并且:
a)导致较小的业务损失,或
b)造成一般的社会危害。


06  网络安全事件类别和级别的关联关系

    一个网络安全事件类别可能具有不同的网络安全事件级别(以下简称“事件级别”),这不仅取决于业务,还取决于网络安全事件的性质,例如:故意性、目标性、时机、量级。


本文由中科至善（uvsec.com）整理编辑发布。