国家标准计划《网络安全技术　事件调查原则和过程》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国网络安全审查认证和市场监管大数据中心 、国家信息技术安全研究中心 、国家工业信息安全发展研究中心等 。

本标准修改采用ISO/IEC国际标准：ISO/IEC 27043:2015。

采标中文名称:信息技术 安全技术 事件调查原则和过程。

2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件，从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。

其中，第五十五条明确指出“发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估”。

为了落实这些法定要求，需要制定相应的国家标准在标准层面上配套支撑，包括信息安全事件调查相关标准。

随着新一代信息技术的发展，网络安全面临着更为严峻的挑战，网络安全事件不可避免，而且全球化势头越发显著。

在应对网络安全事件过程中，事件调查不可或缺，而且其重要程度日趋加强，工作比重越来越大。

目前，国内在网络安全事件管理标准方面，采用了我国参与并主导的国际标准ISO/IEC 27035-1:2016《信息安全事件管理　第1部分：事件管理原理》和ISO/IEC 27035-2:2016《信息安全事件管理　第2部分：事件响应规划和准备指南》，形成了国家标准GB/T 20985.1—2017《信息安全事件管理　第1部分：事件管理原理》和GB/T 20985.2—2020《信息安全事件管理　第2部分：事件响应规划和准备指南》，但尚缺乏网络安全事件调查的相关国家标准来配套满足事件调查的这一法定要求。

由于网络安全事件的全球化，其调查也不可避免成为一个国际性问题，因此有必要先借鉴国际上普遍适用的事件调查的原则、过程、方法和最佳实践，形成适应国际环境的事件调查的基础性标准，然后再依据我国国情，制定自主的事件调查的操作性标准。

为此，首先通过研究和采用先进、普适的网络安全事件调查相关国际标准，制定由多部分组成的《网络安全技术　信息安全事件调查》系列国家标准，包括： ？《第1部分：事件调查原则和过程》（本标准） ？《第2部分：确保事件调查方法适宜性和充足性的指南》（计划） ？《第3部分：数字证据的识别、收集、获得和保全指南》（计划） ？《第4部分：数字证据分析和解释指南》（计划） 本标准拟为众多网络安全事件中数字证据的调查过程提供指导，其目的及意义主要体现在以下几个方面： 标准化流程：明确和标准化数字证据的调查过程，从事前准备到调查结束，形成一套完整的、可复制的调查流程，以提高调查效率和准确性。

提升调查能力：通过对各个环节的研究，提升调查人员对于数字证据收集、分析、评估的能力，使其能够更好地应对复杂多变的调查场景。

保障法律公正：确保数字证据在司法程序中的合法性和有效性，为法律判决提供有力的证据支持，维护法律的公正性和权威性。

优化资源配置：通过合理规划和安排调查流程，优化资源配置，提高资源利用效率，降低调查成本。

实践指导：为调查人员提供实践指导，使其在面对具体事件时能够迅速、准确地展开调查工作。

风险防控：通过对数字证据的调查和分析，可以及时发现和预警潜在的安全风险，为组织提供风险防控的决策支持。

推动技术发展：随着数字化技术的不断发展，数字证据的调查技术也在不断更新和升级。

研究数字证据的调查过程，有助于推动相关技术的发展和创新。

提高司法效率：标准化的调查流程和高效的调查能力可以提高司法效率，缩短案件处理时间，降低社会成本。

保障信息安全：数字证据往往涉及敏感信息，如个人信息、商业机密等。

通过对数字证据的调查和分析，有助于保障这些信息的安全，防止信息泄露和滥用。

促进国际合作：在全球化的背景下，跨国犯罪和网络犯罪日益增多。

研究数字证据的调查过程，有助于促进国际合作，共同打击跨国犯罪和网络犯罪。

制定本标准对数字证据的各种事件调查场景中共同事件调查过程的研究意义十分重大，不仅有助于提升调查效率和准确性，保障法律公正和信息安全，还有助于推动相关技术的发展和创新，促进国际合作。

本项目所制定的标准是拟制定的《网络安全技术　信息安全事件调查》系列国家标准。该标准基于理想模型为各种事件调查场景（包括数字证据）的共同事件调查过程提供指南。具体包括事前准备到调查结束的各个过程，以及针对这些过程的一般建议和注意事项。该标准描述适用于各种调查的过程和原则，包括但不限于未授权访问、数据损毁、系统崩溃、企业违反信息安全行为以及任何其他数字调查。