【英语版】国际标准 ISO/IEC 27037:2012 EN 信息技术 安全技术 识别、收集、获取和保存数字证据的准则 Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence.pdf

ISO/IEC27037:2012EN信息技术-安全技术-数字证据的识别、收集、获取和保存的指导方针

ISO/IEC27037:2012是一套关于信息技术安全技术中数字证据识别、收集、获取和保存的标准，由ISO和IEC联合发布。该标准主要面向信息安全从业人员，为他们提供了在处理安全事件时获取和保存数字证据的指南。

以下是该标准的详细解释：

1.**数字证据的定义**：数字证据是指在数字环境中产生或存在的，可以证明或反驳某一事实或事件的电子记录。

2.**识别数字证据**：在处理安全事件时，从业人员需要识别出哪些证据是重要的，哪些可以忽略。这通常需要借助一些工具和技术，如日志分析工具、网络监控工具等。

3.**收集数字证据**：一旦确定了需要收集的证据，就需要使用适当的工具和方法来收集它们。这可能包括从系统日志、网络流量、邮件等所有可能的来源收集信息。

4.**获取数字证据**：在某些情况下，可能需要从其他用户或组织获取特定的数字证据。这可能涉及到法律程序和协议。

5.**保存数字证据**：收集和获取到的数字证据需要妥善保存，以确保在需要时能够提供。保存的方式取决于证据的性质和环境，可能需要将其存储在安全的存储设备中，或者使用加密和备份技术。

ISO/IEC27037:2012为信息安全从业人员提供了一套详细的指南，帮助他们更好地处理安全事件并保留关键的数字证据，以支持法律程序或满足组织的安全要求。