《信息安全事件管理》(征求意见稿)
信息安全事件管理
判断题1. 中国既是一个网络大国,也是一个网络强国。
错误2. 近年来,中国在互联网领域的竞争力和话语权逐渐增强,但与发达国家相比仍有差距。
正确3. 《网络安全法》从草案发布到正式出台,共经历了三次审议、两次公开征求意见和修改。
正确4. 《网络安全法》一、二、三审稿直至最终出台稿,在基本结构、基本内容方面没有进行根本性的修改。
正确5. 在我国网络安全法律体系中,地方性法规及以上文件占多数。
错误6. 《网络安全法》为配套的法规、规章预留了接口。
正确7. 《网络安全法》没有确立重要数据跨境传输的相关规则。
错误8. 个人信息是指通过网络收集、存储、传输、处理和产生的各种电子数据。
错误 9. 网络空间主权是国家主权在网络空间的体现和延伸。
正确 10. 《网络安全法》只能在我国境内适用。
错误11. 日均访问量超过1000万人次的党政机关网站、企事业单位网站、新闻网站才属于关键信息基础设施。
错误12. 我国在个人信息保护方面最早的立法是2000年的《关于维护互联网安全的决定》。
正确 13. 个人信息的收集、使用者采用匿名化技术对个人信息进行处理之后,使其无法识别出特定个人且不能复原的,向他人提供这些匿名化的数据无须经过被收集者的同意。
正确 14. 对于网络安全方面的违法行为,《网络安全法》规定仅追究民事责任和行政责任,不会追究刑事责任。
错误15. 与中央政府相对应,地方的网信、电信和公安部门是承担网络安全保护和监管职责的主要部门。
正确16. 《网络安全法》对地方政府有关部门的网络安全职责未作具体规定,应当依照国家有关规定确定并执行。
正确17. 要求用户提供真实身份信息是网络运营者的一项法定义务。
正确18. 数据中心是指一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成重大影响的重要网络设施和系统。
错误19. 个人信息保护的核心原则是经过被收集者的同意。
正确20. 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。
2023年度信息安全事件管理指南
2023年度信息安全事件管理指南随着互联网技术的发展,大量的企业和个人信息在互联网中被存储和传输。
信息安全事件不仅对企业的声誉和经济造成影响,也可能危及个人隐私和财产安全。
2023年度信息安全事件管理指南是为了保障企业和个人信息的安全,对信息安全事件进行有效的管理和应对。
一、信息安全事件的定义信息安全事件是指对企业、组织、个人信息系统及数据的突发事件,其中包括信息系统的安全事件和信息数据的安全事件。
安全事件包括但不限于信息泄露、提供虚假信息、非法网站攻击等。
信息系统的安全事件主要包括网络攻击、网络诈骗、恶意软件、拒绝服务攻击等。
信息数据的安全事件主要包括数据泄露、数据篡改、数据损失、数据被窃取等。
二、信息安全事件管理目标1.信息安全事件预防:建立完备的信息安全防护系统,加强安全意识教育,提高用户防范意识,尽量减少各类安全事件的发生。
2.信息安全事件响应:建立紧急预案,及时发现、处理、应对信息安全事件。
3.信息安全事件记录和追溯:做好信息安全事件的记录和追溯工作,为后续调查和处理提供参考依据。
三、信息安全事件管理的具体措施1.建立完善的信息安全管理制度,确保企业和个人符合相关安全法律法规的规定。
2.加强信息安全意识教育,提高用户的安全防范意识,严格遵守信息安全管理制度。
3.完善信息安全防护体系,采取多重安全防御措施,保障信息安全。
4.建立信息安全事件响应预案,确保快速、有效应对信息安全事件,及时止损。
5.完备信息安全事件记录和追溯机制,对每一次信息安全事件都做好记录,为下一步应对和处理提供依据。
6.加强信息安全事件的调查和处理工作,掌握造成安全事件的原因和情况,及时采取措施防止再次发生。
7.加强信息安全管理的监督和检查工作,发现问题及时纠正,避免发生信息安全事件。
四、信息安全事件管理的步骤1.识别信息安全事件:通过通知、报警、日志、异常行为等方式识别信息安全事件。
2.评估信息安全事件:评估事件的情况、影响和威胁程度,制定应急预案。
信息安全事件管理办法
信息安全事件管理办法信息安全是当今社会发展的重要组成部分,随着互联网的普及和信息化程度的提高,信息安全事件也日益频发。
为了保护个人和组织的信息安全,制定一套完善的信息安全事件管理办法至关重要。
本文将从策略制定、事件响应、恢复与评估等方面,探讨信息安全事件管理的具体办法。
一、策略制定信息安全事件管理的第一步是制定明确的策略。
该策略应包括以下要点:1. 建立信息安全事件管理团队:成立专门的团队负责信息安全事件管理工作。
团队成员应包括技术专家、法律顾问、公关专员等。
2. 制定信息安全政策:制定明确的信息安全政策,明确规定信息安全的目标、要求和责任。
3. 定期安全风险评估:定期对系统进行安全风险评估,发现潜在威胁和漏洞,及时采取措施进行修复和加固。
4. 建立信息安全培训计划:组织信息安全培训,提高员工的安全意识和技能。
二、事件响应当发生信息安全事件时,应及时、有效地做出响应。
以下是信息安全事件响应的步骤:1. 事件检测与确认:建立实时的事件监测系统,及时发现潜在的安全事件。
同时,要进行事件的初步确认,判断事件的严重性和影响范围。
2. 事件分类与优先级确定:对事件进行分类,并根据事件的严重程度和影响程度确定处理的优先级。
3. 响应与控制:快速做出响应措施,停止事件的扩散,并采取紧急治理措施,恢复受影响的系统。
4. 信息收集与分析:收集、整理和分析涉及事件的信息,确定事件的原因、目的和手段,并对事件的溯源进行追踪。
5. 通知与沟通:及时向相关利益相关方通报事件,建立完善的沟通机制,共同应对安全事件。
三、恢复与评估当事件得到控制后,需要进行系统的恢复与评估。
以下是恢复与评估的步骤:1. 恢复系统功能:对受到影响的系统进行修复和恢复,确保系统正常运行。
2. 跟踪与修复漏洞:对事件中发现的漏洞和弱点进行修复和加固,提高系统的安全性。
3. 事件溯源与追责:通过技术手段对事件溯源,找到事件的源头,采取相应的法律手段进行追责。
信息安全事件管理
信息安全事件管理信息安全是当今社会中至关重要的一个领域,而信息安全事件的发生与日俱增。
为了确保企业和个人的信息安全,及时有效地管理和应对信息安全事件是至关重要的。
本文将探讨信息安全事件的管理方法和流程。
一、信息安全事件的定义和分类信息安全事件是指涉及信息系统和网络的安全性的任何事件,包括未经授权的访问、数据泄露、恶意软件、网络攻击等等。
根据事件的性质和影响程度,可以将信息安全事件分为不同的等级,如高风险事件、中风险事件和低风险事件。
二、信息安全事件管理的重要性信息安全事件管理的目标是及时发现、响应和解决安全事件,以最小化对组织、企业和个人的损害。
合理的信息安全事件管理可以帮助组织高效地应对和恢复,保护重要的业务信息和客户数据,并构建良好的信息安全防护体系,提高组织的整体安全水平。
三、信息安全事件管理流程1. 事件检测和响应及时检测信息安全事件是信息安全管理的基础。
可以通过安全审计、安全监测工具等技术手段来实现。
当发现安全事件时,需要迅速响应并采取相应的措施,如隔离受感染的系统、停止服务、调查原因等。
2. 事件调查与分析对于发生的安全事件,需要进行详细的调查与分析,确定事件的原因、影响程度和受影响的资产。
可以借助专业的安全分析工具和技术手段,收集关键的事件数据和证据,以便更好地了解事件的本质和后续应对措施。
3. 事件报告和通知根据调查和分析的结果,及时向相关部门或人员发布信息安全事件报告,并提出相应的解决方案和建议。
对于涉及客户数据的安全事件,还应尽快通知客户,告知风险和采取的措施,以保护用户利益和信任。
4. 事件处理与恢复针对不同的信息安全事件,需要制定相应的应对策略和措施。
可以通过修复漏洞、加强安全控制、更新防护机制等方式来防止类似事件再次发生。
同时,需要对受影响的系统和数据进行恢复和修复,以确保业务的连续性与稳定性。
5. 事件评估与改进信息安全事件管理过程中,需要对整个事件的处置过程进行评估与反思,总结经验教训,发现问题和不足,并提出相应的改进方案。
《网络安全等级保护条例》与《信息安全等级保护管理办法》
《⽹络安全等级保护条例》与《信息安全等级保护管理办法》 2018年6⽉27⽇,公安部发布《⽹络安全等级保护条例(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见。
《征求意见稿》包括总则、⽀持与保障、⽹络的安全保护、涉密⽹络的安全保护、密码管理、监督管理、法律责任和附则等⼋章,共七⼗三条。
《征求意见稿》对于⽹络安全等级保护的各项要求、⼯作流程、涉密⽹络、密码管理等⽅⾯做出了⾮常细致的规定。
对⽐《⽹络安全法》颁布之前的《信息安全等级保护管理办法》及其配套的相关规范、标准(以下简称“等保1.0”),《⽹络安全法》颁布之后的⽹络安全等级保护制度(以下简称“等保2.0”)结合新时期的⽹络安全新形势、新变化以及新技术、新应⽤的发展提出了更⾼的要求,⽹络安全等级保护制度成为⼀个全新的国家⽹络安全基本制度体系。
我们昨天推出《从<⽹络安全等级保护条例(征求意见稿)>看等保1.0到等保2.0的重要变化》,以《征求意见稿》为抓⼿,从法律依据的效⼒位阶、领导机构和主管部门、保护对象和适⽤范围、等级分类界定、法律责任五个⾓度,对等保1.0到等保2.0所发⽣的重要变化进⾏分析。
本⽂为《从<⽹络安全等级保护条例(征求意见稿)>看等保1.0到等保2.0的重要变化》中提到的《征求意见稿》与《管理办法》的条款⽐对,读者可通过本⽂对等保1.0到等保2.0的变化做更深⼊的了解。
下列对⽐中,前为等保2.0《⽹络安全等级保护条例(征求意见稿)》,后为等保1.0《信息安全等级保护管理办法》。
宗旨加强⽹络安全等级保护⼯作,提⾼⽹络安全防范能⼒和⽔平,维护⽹络空间主权和国家安全、社会公共利益,保护公民、法⼈和其他组织的合法权益,促进经济社会信息化健康发展规范信息安全等级保护管理,提⾼信息安全保障能⼒和⽔平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设⽴法依据《⽹络安全法》、《保守国家秘密法》等《计算机信息系统安全保护条例》等定义⽹络:由计算机或者其他信息终端及相关设备组成的按照⼀定的规则和程序对信息进⾏收集、存储、传输、交换、处理的系统。
信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南-编制说明
国家标准《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》(报批稿)编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划,计划号:20192180-T-469。
本标准由全国信息安全标准化技术委员(TC260)会提出并归口管理,2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司,协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。
闵京华为项目负责人,主要工作包括项目组织、文本翻译、修改完善和文本编辑;周亚超主要工作包括文本翻译和修改完善;王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直:主要工作包括修改完善。
3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件,从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。
为了落实这些法定要求,需要制定相应的国家标准在标准层面上配套支撑。
随着新一代信息技术的发展,信息安全面临着更为严峻的挑战,信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大,信息安全事件响应全球化趋势越发显著。
信息安全事件管理是关键信息基础设施必备的安全控制。
有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。
2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。
最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。
信息安全事件管理程序
文件制修订记录1.0目的和范围为加强和改进信息安全事件管理;在发生信息安全事件时能及时报告,快速响应,将损失控制在最小范围;在发生信息安全事件后,能够分析事故原因及产生影响、反馈处理结果、吸取事故教训;在发现信息安全异常现象时,能及时沟通,采取有效措施,防止安全事故的发生;特制订本管理程序。
适用于影响信息安全的所有事故以及安全异常现象以及全体人员(包括外协人员、实习生、长期客户员工、来访客户等)。
2.0引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求2)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3)《业务连续性管理制度》3.0职责和权限1)信息安全管理领导小组:负责对内部信息安全事件的处理和奖惩意见进行审批;负责对纠正预防措施进行审批。
2)信息安全工作小组:负责组织制定内部信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查取证,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制;负责组织制定项目信息安全事件处理制度;听取信息安全事件的汇报,负责对信息安全事件进行调查取证,提出处理措施,提出奖惩意见以及纠正预防措施,负责信息安全有关的所有文件的管理与控制。
3)各部门:积极预防信息安全事件的发生;及时准确的汇报信息安全事件,配合信息安全事件的调查取证工作;配合执行处理措施,奖惩决定以及纠正预防措施。
4)异常现象和事件发现人:异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况,并采取适当的临时措施制止事故的进一步扩大。
信息安全及管理规定最新(3篇)
第1篇随着信息技术的飞速发展,信息安全已经成为国家、企业和个人关注的焦点。
近年来,我国政府、行业和企业纷纷出台了一系列信息安全及管理规定,旨在加强信息安全防护,维护网络空间的安全与稳定。
本文将梳理信息安全及管理规定的最新动态,并对相关内容进行解读。
一、国家层面政策法规1. 《网络安全法》2017年6月1日起施行的《网络安全法》是我国网络安全领域的基础性法律,明确了网络运营者的安全责任,强化了网络信息保护,规范了网络行为,为我国网络安全提供了法律保障。
2. 《个人信息保护法》2021年11月1日起施行的《个人信息保护法》是我国个人信息保护领域的基础性法律,明确了个人信息处理的原则、方式、主体权利义务等内容,为个人信息保护提供了法律依据。
二、行业监管政策1. 《关键信息基础设施安全保护条例》2021年6月1日起施行的《关键信息基础设施安全保护条例》明确了关键信息基础设施的概念、保护范围、保护措施等内容,旨在加强关键信息基础设施的安全保护。
2. 《网络安全审查办法》2020年4月1日起施行的《网络安全审查办法》明确了网络安全审查的范围、程序、要求等内容,旨在加强对关键信息基础设施供应链的网络安全审查。
三、企业内部管理规定1. 《信息安全技术—信息安全管理体系》GB/T 22080-2016《信息安全技术—信息安全管理体系》是我国信息安全管理体系的标准,为企业建立信息安全管理体系提供了指导。
2. 《信息安全技术—数据安全管理办法》GB/T 35273-2020《信息安全技术—数据安全管理办法》为企业数据安全管理提供了规范,明确了数据安全保护的责任、措施和要求。
四、信息安全新技术与应用1. 云计算安全随着云计算的普及,云计算安全成为信息安全领域的重要议题。
我国政府和企业纷纷开展云计算安全技术研究,推动云计算安全标准的制定。
2. 人工智能安全人工智能技术在信息安全领域的应用日益广泛,但同时也带来了新的安全风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ICS 35.040信息技术安全技术信息安全事件管理Information technology-Security techniques-Information security incidentmanagement(MOD ISO/IEC TR 18044:2004)(征求意见稿)国家质量监督检验检疫总局发布目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 定义 (1)4 背景 (1)4.1目标 (1)4.2过程 (2)5 益处和关键问题 (4)5.1益处 (5)5.2关键问题 (6)6 信息安全事件及其原因示例 (9)6.1拒绝服务 (9)6.2信息收集 (9)6.3未授权访问 (10)7 规划和准备 (10)7.1概述 (10)7.2信息安全事件管理策略 (11)7.3信息安全事件管理方案 (12)7.4信息安全和风险管理策略 (15)7.5 ISIRT的建立 (15)7.6技术和其他支持 (16)7.7意识和培训 (17)8 使用 (17)8.1概述 (18)8.2关键过程的概述 (19)8.3检测和报告 (20)8.4异常现象/事件评估和决策 (20)8.5响应 (23)9 评审 (27)9.1概述 (27)9.2进一步的法律取证分析 (27)9.3经验教训 (27)9.4确定安全改进 (28)9.5确定方案改进 (28)10 改进 (28)10.1概述 (28)10.2安全风险分析和管理改进 (29)10.3改善安全状况 (29)10.4改进方案 (29)10.5其他改进 (29)附录 A (资料性附录)信息安全异常现象和事件报告单示例 (30)附录 B (资料性附录)信息安全事件评估要点指南示例 (37)参考文献 (40)前言本指导性技术文件修改采用国际标准ISO/IEC 18044:2004《信息技术安全技术信息安全事件管理》。
本指导性技术文件由全国信息安全标准化技术委员会归口。
本部分由中国电子技术标准化研究所、北京同方信息安全股份有限公司、北京知识安全工程中心负责起草。
本部分主要起草人:。
引言没有任何一种具有代表性的信息安全策略或防护措施,可对信息、信息系统、服务或网络提供绝对的保护。
即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致信息安全事件发生,并对组织的业务运行直接或间接产生负面影响。
此外,以前未被认识到的威胁也将会不可避免地发生。
组织如果对如何应付这些事件没有作好充分准备,其任何实际响应的效率都会大打折扣,甚至还可能加大潜在的业务负面影响的程度。
因此,对于任何一个重视信息安全的组织来说,采用一种结构严谨、计划周全的方法来处理以下工作十分必要:●检测、报告和评估信息安全事件;●对信息安全事件做出响应,包括启动适当的事件防护措施来预防和降低事件影响,以及从事件影响中恢复(例如,在支持和业务连续性规划方面);●从信息安全事件中吸取经验教训,制定预防措施,并且随着时间的变化,不断改进整个的信息安全事件管理方法。
信息技术安全技术信息安全事件管理1 范围本指导性技术文件规范了信息安全事件的管理,概括性地介绍了信息安全事件管理、采用信息安全事件管理方案的益处以及与采用方案相关的关键问题,明确阐述了规划和制定信息安全事件管理策略和方案的相关步骤,详细说明了管理信息安全事件和开展事件善后工作的过程和规程。
本指导性技术文件可用于指导信息安全管理者,信息系统、服务和网络管理者对信息安全事件的管理。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19716:2005 信息技术信息安全管理实用规则(Mod ISO/IEC 17799:2000)ISO/IEC 13335-1:2004 IT安全技术信息和通信技术安全管理第1部分:信息和通信技术安全管理的概念和模型3 定义GB/T 19716、ISO/IEC 13335-1:2004以及下面给出的术语和定义适用于本指导性技术文件。
3.1业务连续性规划 business continuity planning业务连续性规划是指这样的一个过程,即当有任何意外或有害事件发生,且对基本业务功能和支持要素的连续性造成负面影响时,确保运行的恢复得到保障。
该过程还应确保恢复工作按指定优先级、在规定的时间期限内完成,且随后将所有业务功能及支持要素恢复到正常状态。
这一过程的关键要素必须确保具有必要的计划和设施,且经过测试,它们包含信息、业务过程、信息系统和服务、语音和数据通信、人员和物理设施等。
3.2信息安全异常现象 information security event信息安全异常现象是指被识别的一种系统、服务或网络状态的发生,表明一次可能的信息安全策略违规或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况。
3.3信息安全事件 information security incident信息安全事件是由单个或一系列意外或有害的信息安全异常现象所组成的,极有可能危害业务运行和威胁信息安全(本文第6节列举了信息安全事件的例子)。
3.4信息安全事件响应组(ISIRT)Information Security Incident Response TeamISIRT是由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安全事件相关的全部工作。
有时,小组可能会有外部专家加入,例如来自一个公认的计算机事件响应组或计算机应急响应组(CERT)的专家。
4 背景4.1 目标作为任何组织整体信息安全战略的一个关键部分,采用一种结构严谨、计划周全的方法来进行信息安全事件的管理至关重要。
这一方法的目标旨在确保:●信息安全异常现象可以被检测出来并得到有效处理,尤其是确定是否需要将异常现象归类为信息安全事件;1●对已确定的信息安全事件进行评估,并以最恰当和最有效的方式做出响应;●作为事件响应的一部分,通过恰当的防护措施——可能的话,结合业务连续性计划的相关要素——将信息安全事件对组织及其业务运行的负面影响降至最小;●及时总结信息安全事件及其管理的经验教训。
这将增加预防将来信息安全事件发生的机会,改进信息安全防护措施的实施和使用,同时全面改进信息安全事件管理方案。
4.2 过程为了实现第4.1节所述目标,信息安全事件管理由四个不同的过程组成:●规划和准备;●使用;●评审;●改进。
(注:这些过程与ISO/IEC 27001:2005中的“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”过程类似。
)下面图1显示了上述过程的主要活动。
1应该指出的是,尽管信息安全异常现象可能是意外或故意违反信息安全防护措施的企图的结果,但在多数情况下,信息安全异常现象本身并不意味着破坏安全的企图真正获得了成功,因此也并不一定会对保密性、完整性和/或可用性产生影响,也就是说,并非所有信息安全异常现象都会被归类为信息安全事件。
图1:信息安全事件管理过程4.2.1 规划和准备有效的信息安全事件管理需要适当的规划和准备。
为使信息安全事件的响应有效,下列措施是必要的:●制定信息安全事件管理策略并使其成为文件,获得所有关键利益相关人,尤其是高级管理层对策略的可视化承诺;●制定信息安全事件管理方案并使其全部成为文件,用以支持信息安全事件管理策略。
用于检测、报告、评估和响应信息安全事件的表单、规程和支持工具,以及事件严重性衡量尺度的细节2,均应包括在方案文件中(应指出,在有些组织中,方案即为信息安全事件响应计划);●更新所有层面的信息安全和风险管理策略,即,全组织范围的,以及针对每个系统、服务和网络的信息安全和风险管理策略,均应根据信息安全事件管理方案进行更新;●确定一个适当的信息安全事件管理的组织结构,即信息安全事件响应组(ISIRT),给那些可调用的、能够对所有已知的信息安全事件类型作出充分响应的人员指派明确的角色和责任。
在大多数组织中,ISIRT可以是一个虚拟小组,是由一名高级管理人员领导的、得到各类特定主题专业人员支持的小组,例如,在处理恶意代码攻击时,根据相关事件类型召集相关的2应该建立“定级”事件严重性的衡量尺度。
例如,可基于对组织业务运行的实际或预期负面影响的程度,分为“严重”和“轻微”两个级别。
专业人员;●通过简报和/或其他机制使所有的组织成员了解信息安全事件管理方案、方案能带来哪些益处以及如何报告信息安全异常现象。
应该对管理信息安全事件管理方案的负责人员、判断信息安全异常现象是否为事件的决策者,以及参与事件调查的人员进行适当培训;●全面测试信息安全事件管理方案。
第7章中对规划和准备阶段作了进一步描述。
4.2.2 使用下列过程是使用信息安全事件管理方案的必要过程:●检测和报告所发生的信息安全异常现象(人为或自动方式);●收集与信息安全异常现象相关的信息,通过评估这些信息确定哪些异常现象应归类为信息安全事件;●对信息安全事件作出响应:⏹立刻、实时或接近实时;⏹如果信息安全事件在控制之下,按要求在相对缓和的时间内采取行动(例如,全面开展灾难恢复工作);⏹如果信息安全事件不在控制之下,发起“危机求助”行动(如召唤消防队/部门或者启动业务连续性计划);⏹将信息安全事件及任何相关的细节传达给内部和外部人员和/或组织(其中可能包括按要求上报以便进一步评估和/或决定);⏹进行法律取证分析;⏹正确记录所有行动和决定以备进一步分析之用;⏹结束对已经解决事件的处理。
第8章中对使用阶段作了进一步描述。
4.2.3 评审在信息安全事件已经解决或结束后,进行以下评审活动是必要的:●按要求进行进一步法律取证分析;●总结信息安全事件中的经验教训;●作为从一次或多次信息安全事件中吸取经验教训的结果,确定信息安全防护措施实施方面的改进;●作为从信息安全事件管理方案质量保证评审(例如根据对过程、规程、报告单和/或组织结构所作的评审)中吸取经验教训的结果,确定对整个信息安全事件管理方案的改进。
第9章中对评审阶段作了进一步描述。
4.2.4 改进应该强调的是,信息安全事件管理过程虽然可以反复实施,但随着时间的推移,有许多信息安全要素需要经常改进。
这些需要改进的地方应该根据对信息安全事件数据、事件响应以及一段时间以来的发展趋势所作评审的基础上提出。
其中包括:●修订组织现有的信息安全风险分析和管理评审结果;●改进信息安全事件管理方案及其相关文档;●启动安全的改进,可能包括新的和/或经过更新的信息安全防护措施的实施。