GB/T 47692-2026 网络安全技术 事件调查原则和过程

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T47692—2026

网络安全技术事件调查原则和过程

Cybersecuritytechnology—Incidentinvestigationprinciplesandprocesses

ISO/IEC270432015Informationtechnolo—Securittechniues—

(:,gyyq

IncidentinvestiationrincilesandrocessesMOD

gppp,)

2026-05-25发布2026-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T47692—2026

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

数字调查原则

5……………3

通用原则

5.1……………3

合法原则

5.2……………3

数字调查过程

6……………4

过程概述

6.1……………4

数字调查过程类

6.2……………………4

预备过程类

7………………5

预备过程类概述

7.1……………………5

场景定义过程

7.2………………………7

潜在数字证据源识别过程

7.3…………7

规划事件前潜在数字证据收集存储和处理过程

7.4、…………………7

规划事件前潜在数字证据分析过程

7.5………………7

规划事件检测过程

7.6…………………7

定义系统架构过程

7.7…………………8

实施系统架构过程

7.8…………………8

实施事件前潜在数字证据收集存储和处理过程

7.9、…………………8

实施事件前潜在数字证据分析过程

7.10………………8

实施事件检测过程

7.11…………………8

实施评估过程

7.12………………………8

改进过程

7.13……………9

启动过程类

8………………9

启动过程类概述

8.1……………………9

事件检测过程

8.2………………………9

首次响应过程

8.3………………………10

规划过程

8.4……………10

准备过程

8.5……………10

获取过程类

9………………10

获取过程类概述

9.1……………………10

Ⅰ

GB/T47692—2026

潜在数字证据识别过程

9.2……………11

潜在数字证据收集过程

9.3……………11

潜在数字证据获取过程

9.4……………11

潜在数字证据传输过程

9.5……………12

潜在数字证据存储和保全过程

9.6……………………12

调查过程类

10……………12

调查过程类概述

10.1…………………12

潜在数字证据获取过程

10.2…………13

潜在数字证据检查和分析过程

10.3…………………13

数字证据解释过程

10.4………………13

报告过程

10.5…………………………13

呈现过程

10.6…………………………13

调查结束过程

10.7……………………14

并行过程类

11……………14

并行过程类概述

11.1…………………14

获得授权过程

11.2……………………14

形成文档过程

11.3……………………15

管理信息流过程

11.4…………………15

保全监管链过程

11.5…………………15

保全数字证据过程

11.6………………15

与实体调查交互过程

11.7……………15

数字调查过程模型

12……………………15

参考文献

……………………18

Ⅱ

GB/T47692—2026

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件修改采用信息技术安全技术事件调查原则和过程

ISO/IEC27043:2015《》。

本文件与的技术差异及其原因如下

ISO/IEC27043:2015:

增加了规范性引用并在术语和定义中使用该标准已有的定义用规范

———GB/T25069—2022,“”,

性引用的替换了以适应我国的技术条件

GB/T29246—2023ISO/IEC27000,;

更改了及文中其他部分的评估结果的实施过程为改进过程以提升可读性

———7.13“”“”,;

更改了中有关设备硬件和软件基础设施人员的准备为有关设备硬件和软件策

———8.5“()、、”“()、

略基础设施人员的准备新增策略维度使准备工作覆盖内容更全面

、、”,,;

删除了第段数字调查领域的专家和学者需设计出可应用于网络环境实时调查过程

———9.44“、、

云计算环境海量数据环境等场景的适当获取潜在数字证据的步骤以符合国家标准的定位

、”,;

更改了增加采用符合国家密码管理要求的密码等内容以符合我国法律要求

———9.5,“”,。

本文件做了下列编辑性改动

:

更改了第章的表述

———1;

对图表重新进行了编号原因是删除了原前言其中包括图表

———,,;

删除了缩略语中的本文件中未使用该缩略语

———“DVR”,;

更改了第章标题数字调查为数字调查原则以更符合本章实际内容

———5“”“”,;

更改了中针对国际差异的泛化描述如不同司法管辖区可能存在不同法定要求根据特定

———5.2,,

司法管辖区的特定法律建议在特定司法管辖区内寻求法律指导等以符合国家标准的定位

、,;

对进行了编辑性修改将原来各过程中逐行列出的各子过程写成一段便于阅读同时合

———6.2,,,

并规划事件前收集和事件前潜在数字证据存储和处理与第章保持一致更改潜在数

“”“”,7,“

字证据存储为潜在数字证据存储和保全与第章保持一致在调查过程类增加潜在数字

”“”,9,“

证据获取与第章保持一致

”,10;

更改了最后一段涉及数字调查过程层级结构的表述并调整至第二段以便于理解

———6.26.1,;

在预备过程规划过程等部分过程后面增加了类或组表示不同层次的过程的集合以更

———、“”“”,,

好地区分层次便于理解

,;

删除了上述四个目标产生的输入信息在本文件的其余部分被称为预先已知的系统输入

———7.1“”,

后文中涉及该概念时更改了表述以更符合中文表述习惯

,;

更改了中特定管辖区的法律为国家法律法规要求

———7.4“”“”;

更改了中该审查尤其需要核验是否符合特定司法体系的法律规定及数字取证原则为

———7.12“”

该审查尤其需要核验是否符合国家法律法规要求及数字取证原则

“”;

将第段和第段合并

———8.234;

将中个别无实际意义的语句简写并删除第二段中关于数字调查预备过程类

———8.3、8.4、8.5,8.4

的目标相关内容原因是已经阐述存在明显重复

,7.1,;

更改了中涉及不同司法管辖区的表述

———10.7;

删除了附录资料性附录因该内容主要是与国际上其他数字调查模型的对比对本文件不

———A(),,

适用

;

为与现有网络安全国家标准协调一致标准名称调整为网络安全技术事件调查原则和过程

———,《》。

Ⅲ

GB/T47692—2026

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国网络安全审查认证和市场监管大数据中心中国电子技术标准化研究院

:、、

国家信息中心国家工业信息安全发展研究中心中国电子科技集团公司第十五研究所国家信息技术

、、、

安全研究中心公安部第一研究所司法鉴定科学研究院亚信科技成都有限公司广东中科实数科技

、、、()、

有限公司厦门市美亚柏科信息安全研究所有限公司浪潮云信息技术股份公司长扬科技北京股份

、、、()

有限公司浪潮软件集团有限公司杭州迪普科技股份有限公司北京青囊风华文化传媒有限公司杭州

、、、、

安恒信息技术股份有限公司

。

本文件主要起草人伍扬田秀丽闵京华王惠莅陈晨王超佳任欣洁刘鑫赵冉王诗蕊

:、、、、、、、、、、

霍珊珊锁延锋刘健马庆栋程浩王超杰刘洞宾廖双晓郭弘李岩孙奕苏步发丁丽萍杜漠

、、、、、、、、、、、、、、

左鹏饶飞孙文龙张增波张亚京刘吉林陈星程慧琴

、、、、、、、。

Ⅳ

GB/T47692—2026

网络安全技术事件调查原则和过程

1范围

本文件描述了事件调查的过程和原则包括但不限于未授权访问数据损毁系统崩溃或企业信息

,、、

安全受损以及其他类别的事件调查活动

,。

本文件适用于指导各类组织开展各种事件调查场景下涉及数字证据的调查包括从事件前准备到

,

调查结束的各个过程

。

注本文件不提供对每项调查活动实施原则和过程的具体描述

:。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术信息安全管理体系概述和词汇

GB/T29246—2023(ISO/IEC27000:2018,

IDT)

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022、GB/T29246—2023。

31

.

获取acquisition

调查取证在界定的集合之内创建数据副本的过程

<>。

注获取过程的产出是潜在数字证据的副本

:。

来源

[:GB/T25069—2022,3.257]

32

.

活动activity

某一过程的内聚性任务的集合

。

来源

[:GB/T25069—2022,3.256]

33

.

分析analysis

评估潜在数字证据的过程以评定其与事件调查的相关性

,。

注潜在数字证据被确定为与事件相关时即成为数字证据

:,。

来源

[:ISO/IEC27042:2015,3.1]

34

.

收集collection

对包含潜在数字证据的实体进行搜集的过程

。

来源

[:ISO/IEC27037:2012,3.3]

1