两大国际标准正式发布, 百度安全深度参与
近日,由中国主导,美、日、英、法等多国参与编制的 ISO/IEC 27035-1《信息技术 安全技术 信息安全事件管理 第 1 部分:原理与过程》和 ISO/IEC 27035-2《信息技术 安全技术 信息安全事件管理 第 2 部分:事件响应规划和准备指南》第 2 版正式发布。
以上两项国际标准的编制历时 3 年半,在标准编制期间,百度安全专家作为项目联合编辑之一,多次深入参与标准的调研、研讨与论证,将中国优秀的企业实践实践经验引入国际标准编制,持续助力中国信息安全管理事业的发展。ISO 作为世界上最大的标准制定组织,其现有 117 个成员,包括 117 个国家和地区,是全球影响最广、最具权威性的国标标准机构之一。
ISO/IEC 27035 的前身是 ISO/IEC TR 18044。2008 年 4 月,ISO/IEC JTC1/SC27 决定修订 ISO/ IEC TR 18044:2004,将其纳入信息安全管理体系 ISO/ IEC 27000 系列标准,2011 年 9 月 1 日正式发布 ISO/ IEC 27035:2011。2012 年 5 月,ISO/IEC JTC1/SC27 提前启动了 ISO/IEC 27035 的修订,将 ISO/IEC 27035 重构为三个部分,即 ISO/IEC 27035-1《第 1 部分:事件管理原理》、ISO/IEC 27035-2《第 2 部分:事件响应规划和准备指南》和 ISO/IEC 27035-3《第 3 部分:事件响应操作指南》。2016 年 11 月,ISO/ IEC 27035-1:2016 与 ISO/ IEC 27035-2:2016 正式发布发布。2019 年 7 月,工作组开始了相关标准的修订工作,并由中国专家担任 ISO/IEC 27035-1 与 ISO/IEC 27035-2 的编辑。2023 年 2 月,ISO/ IEC 27035-1:2023 与 ISO/ IEC 27035-2:2023 正式获批发布。
ISO/IEC JTC 1/SC 27 27035-1:2023《Information technology - Security techniques - Information security incident management - Part 1 :Principles and process》中文译为-《信息技术 安全技术 信息安全事件管理 第 1 部分:原理与过程》。本标准是 ISO/IEC 27035 多个部分的基础,介绍了信息安全事件管理的基本概念、原则和关键活动的过程,提供了一个结构化的方法来准备、检测、报告、评估和响应事件,并应用经验教训。
ISO/IEC JTC 1/SC 27 27035-2:2023《Information technology - Security techniques - Information security incident management- Part 2:Guidelines to plan and prepare for incident response》中文名译为-《信息技术 安全技术 信息安全事件管理第 2 部分:事件响应规划和准备指南》,本标准提供实践计划和事件响应的指南。 该指南基于第 1 部分中介绍的“信息安全事件管理阶段”模型中的“计划和准备”阶段和“经验教训”阶段。
百度安全积极组建专家团队参与到标准编制中,并基于百度 20 余年的安全实践与管理经验,为标准编制输出意见,提出中国企业最新的理论与实践。三年来,相关技术专家先后参加标准编制研讨会 20 余次,组织内部专家研讨标准文稿 30 余次,充分参与编制组的编制讨论并与与会嘉宾达成一致。最终在国际多方的共同努力下,两项国际标准于 2023 年 2 月正式获批发布。
标准对保障公司安全发展的起到技术支撑作用,长期以来,百度安全始终致力于通过标准引领业务,依托百度技术优势,积极向企业、行业、社会中输出百度工作实践,提升企业标准化水平,促进行业标准化创新,推进社会标准化进程。截至目前,百度安全已累计跟进标准 330+项,其中包括国际标准、国家标准、国家标准研究、行业标准、团体标准、地方标准等;深度参与了隐私计算、深度学习、联邦学习、AI 应用技术、大数据、网络安全、车安全等领域的重点标准制定 100+项。未来,百度安全将持续优化“标准+认证+生态”的工作模式,深入标准制定、推动标准转化、促成标准实践落地,将标准研制与产业应用、科技创新有机结合,创造产、学、研、用一体的高质量标准闭环。
评论