近日,由中国主导,美、日、英、法等多国参加编制的 ISO/IEC 27035-1《信息技术 平安技术 信息安全事件治理 第 1 局部:原理与过程》和 ISO/IEC 27035-2《信息技术 平安技术 信息安全事件治理 第 2 局部:事件响应布局和筹备指南》第 2 版正式公布。
以上两项国际标准的编制历时 3 年半,在规范编制期间,百度平安专家作为我的项目联结编辑之一,屡次深刻参加规范的调研、研究与论证,将中国优良的企业实际实践经验引入国际标准编制,继续助力中国信息安全治理事业的倒退。ISO 作为世界上最大的规范制订组织,其现有 117 个成员,包含 117 个国家和地区,是寰球影响最广、最具权威性的国标规范机构之一。
ISO/IEC 27035 的前身是 ISO/IEC TR 18044。2008 年 4 月,ISO/IEC JTC1/SC27 决定订正 ISO/ IEC TR 18044:2004,将其纳入信息安全管理体系 ISO/ IEC 27000 系列规范,2011 年 9 月 1 日正式公布 ISO/ IEC 27035:2011。2012 年 5 月,ISO/IEC JTC1/SC27 提前启动了 ISO/IEC 27035 的订正,将 ISO/IEC 27035 重构为三个局部,即 ISO/IEC 27035-1《第 1 局部:事件治理原理》、ISO/IEC 27035-2《第 2 局部:事件响应布局和筹备指南》和 ISO/IEC 27035-3《第 3 局部:事件响应操作指南》。2016 年 11 月,ISO/ IEC 27035-1:2016 与 ISO/ IEC 27035-2:2016 正式公布公布。2019 年 7 月,工作组开始了相干规范的订正工作,并由中国专家负责 ISO/IEC 27035- 1 与 ISO/IEC 27035- 2 的编辑。2023 年 2 月,ISO/ IEC 27035-1:2023 与 ISO/ IEC 27035-2:2023 正式获批公布。
ISO/IEC JTC 1/SC 27 27035-1:2023《Information technology – Security techniques – Information security incident management – Part 1 :Principles and process》中文译为 -《信息技术 平安技术 信息安全事件治理 第 1 局部:原理与过程》。本规范是 ISO/IEC 27035 多个局部的根底,介绍了信息安全事件治理的基本概念、准则和要害流动的过程,提供了一个结构化的办法来筹备、检测、报告、评估和响应事件,并利用经验教训。
ISO/IEC JTC 1/SC 27 27035-2:2023《Information technology – Security techniques – Information security incident management- Part 2:Guidelines to plan and prepare for incident response》中文名译为 -《信息技术 平安技术 信息安全事件治理第 2 局部:事件响应布局和筹备指南》,本规范提供实际打算和事件响应的指南。该指南基于第 1 局部中介绍的“信息安全事件治理阶段”模型中的“打算和筹备”阶段和“经验教训”阶段。
百度平安踊跃组建专家团队参加到规范编制中,并基于百度 20 余年的平安实际与治理教训,为规范编制输入意见,提出中国企业最新的实践与实际。三年来,相干技术专家先后加入规范编制研讨会 20 余次,组织外部专家研究规范文稿 30 余次,充沛参加编制组的编制探讨并与与会嘉宾达成统一。最终在国内多方的共同努力下,两项国际标准于 2023 年 2 月正式获批公布。
规范对保障公司平安倒退的起到技术撑持作用,长期以来,百度平安始终致力于通过规范引领业务,依靠百度技术劣势,踊跃向企业、行业、社会中输入百度工作实际,晋升企业标准化程度,促成行业标准化翻新,推动社会标准化过程。截至目前,百度平安已累计跟进规范 330+ 项,其中包含国际标准、国家标准、国家标准钻研、行业标准、个人规范、中央规范等;深度参加了隐衷计算、深度学习、联邦学习、AI 利用技术、大数据、网络安全、车平安等畛域的重点规范制订 100+ 项。将来,百度平安将继续优化“规范 + 认证 + 生态”的工作模式,深刻规范制订、推动规范转化、促成规范实际落地,将规范研制与产业利用、科技翻新有机联合,发明产、学、研、用一体的高质量规范闭环。