【英语版】国际标准 ISO/IEC 27037:2012 EN 信息技术-安全技术-指导原则:如何识别、收集、获取和保存数字证据 Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence.pdf

ISO/IEC27037:2012，即《信息技术安全技术数字证据识别、收集、获取和保存指南》，是一套国际标准，旨在为数字证据的识别、收集、获取和保存提供指导。它为信息安全专业人员提供了在处理安全事件时收集和保存数字证据所需的关键步骤和最佳实践。以下是该标准的详细解释：

1.数字证据的定义和重要性：数字证据是指在数字环境中产生的或与之相关的信息，这些信息可以用于证明或反驳与安全事件相关的指控或问题。它们在法律诉讼、调查和安全审计中具有重要价值。

2.识别数字证据：该标准提供了识别数字证据的关键步骤，包括确定证据的重要性、确定证据的类型（如文件、电子邮件、社交媒体帖子等）、确定证据的来源和位置。

3.收集数字证据：标准强调了收集证据时要保持客观和公正，并遵循特定的程序和方法。这可能包括通过系统日志、安全监控工具、备份数据、恶意软件分析等手段获取证据。

4.获取数字证据：此阶段可能包括在安全事件发生时立即获取证据，或在后期通过数据恢复等技术获取遗失的证据。

5.保存数字证据：保存数字证据是关键的，因为它可能在未来的诉讼、调查或审计中被要求。保存证据时应考虑证据的可靠性和完整性，并遵守适当的存储标准和最佳实践。

ISO/IEC27037:2012为信息安全专业人员提供了在处理安全事件时收集和保存数字证据的重要性和方法。它提供了一套全面的指南，帮助专业人员遵循最佳实践，确保数字证据的可靠性和完整性，并在需要时能够提供有力的证据支持。