发布时间 : 星期日 文章信息安全事件管理指南更新完毕开始阅读a67c29f27c1cfad6195fa79c
a)信息安全事件管理对于组织的重要性,以及高级管理层对信息安全事件管理及其相关方案作出的承诺;
b)对信息安全事态发现、报告和相关事件。概述中应包含对信息安全事态的可能类型,以及如何报告、报告什么、向哪个部门以及向谁报告信息安全事态等内容的归纳,还包括如何处理全新类型的信息安全事态;
c) 信息安全事件评估的概述,其中保罗具体负责的人员、必须采取的行动以及通知和上报等;
d)确认一个信息安全事态为信息安全事件后所应采取的行动的概要,其中应该包括:
1)立即响应; 2)法律取证分析
3)向所涉及人员和相关第三方传达
4)考虑信息安全事件是否在可控制状态下; 5)后续响应; 6)“危机求助”发起; 7)上报标准; 8)具体负责的人员;
e)确保所有活动都得到恰当记录以备日后分析,以及为确保电子证据的安全保存而进行持续监控,以供法律起诉或内部惩罚;
f)信息安全事件得到解决后的活动,包括时候总结经验教训和改进过程; g)方案文件(包括规程)保存位置的详细信息; h)ISIRT的概述,围绕以下主题:
ISIRT的组织结构和关键人员的身份,其中包括由谁负责以下工作: ——向高级管理层简单说明事件的情况: ——处理询问、发起后续工作等; ——对外联系(必要时)。
2)规定了ISIRT的具体工作以及ISIRT由谁授权的信息安全管理章程。章程至少
应该包括ISIRT的任务声明、工作范围定义以及有关ISIRT董事会级发起人及其授权的详细情况;
3)着重描述ISIRT核心活动的任务声明。要想成为一个真正的ISIRT,该小组应
该支持对信息安全事件的评估、响应和管理工作,并最终得出成功的结论。该小组的目标和目的尤为重要,需要有清晰明确的定义;
4)定义ISIRTDE 的工作范围。通常一个组织的ISIRT工作范围应包括组织所有
的信息系统、服务和网络。有的组织可能会于某种原因而将ISIRT工作范围规定得较小,如果是这种情况,应该在文件中清楚地阐述ISIRT工作范围之内和之外的对象;
5)作为发起者并授权ISIRT行动的高级执行官/董事会成员/高级管理人员的身份,
ISIRT被授权的级别。了解这些有助于组织所有人员理解ISIRT的背景和设置情况,且对于ISIRT的信任至关重要。应该注意的是,在这些详细信息公布之前,应该从法律角度对其进行审查。在有些情况下,泄露一个小组的授权信息会使该小组的可靠性声明失效。
i)信息安全事件管理安全意识和培训计划的概述; j必须阐明的法律法规问题的总结9参见5.2.3)。
7.3.1 目的
信息安全事件管理方案的目的是提供一份文件,对事件处理和事件沟通的uochenghe规程作详细说明。一旦发现到信息安全事态,信息安全事件管理方案就开始起作用。该方案被用作以下活动的指南:
· 对信息安全事态作出响应;
· 确定信息安全事态是否为信息安全事件; · 对信息安全事件进行管理,并得出结论;
· 总结经验教训,并确定方案和/或总体的安全需要改进的地方; · 执行已确定的改进工作。 7.3.2读者
应将信息安全事件管理方案告示给组织全体员工,因此,包括负责以下工作的员工: ·发现和报告信息安全事态,可以是组织内任何员工,无论是正式工还是合同工; ·评估和响应信息安全事态和信息安全事件,以及事件解决后必要的经验教训总结、改进信息安全和修订信息安全事件管理方案的工作。其中包括运行支持组(或类似的工作组)成员、ISIRT、管理层、公关部人员和法律代表。
还应该考虑任何第三方用户,以及报告信息安全事件及相关脆弱性的第三方组织、政府和商业信息安全事件和脆弱性信息提供组织。 7.3.3内容
信息安全事件公里方案稳健的内容应包括: a) 信息安全事件管理策略的概述; b) 整个信息安全事件管理方案的概述;
c) 与以下内容相关的详细过程和规程8)以及相关工具和衡量尺度的信息;
1) 规划和准备
——发现和报告发生的信息安全是太(通过人工或自动方式); ——收集有关信息安全是太的信息;
——使用组织内认可的事态/事件严重性衡量尺度进行信息安全事态评估,确定是否可将它们重新划分为信息安全事件; 2)使用(当确认发生了信息安全事件时)
——将发生的信息安全事件或任何相关细节传达给其他内部和外部人员或组织;
——根据分析结果和已确认的严重性级别,启动立即响应,其中可能包括启动恢复规程和/或向相关人员传达;
——按要求和相关的信息安全事件的严重性级别,进行法律取证分析,必要时更改事件级别;
——确定信息安全事件是否处于可控制状态;
——作出任何必要的进一步响应,包括在后续事件可能需要作出的响应(例如,在实施一次碍难的完全恢复工作中);
——如果信息安全事件不在控制下,发起“危机求助”行动(如呼叫消防队/部门或者启动业务连续性计划);
——按要求上报,便于进一步评估和/或决策;
8)组织科自己决定是将所有规程放入到方案稳健中,还是通过附加问价详细阐明全部或部分规程。
——确保所有活动被恰当记录,一遍与日后分析; ——更新信息安全事态/事件数据库;
(信息安全事件管理方案文件应考虑对信息安全事件的立即响应和长期响应。所有的信息安全事件都需要提早评估其潜在负面影响,包括短期和长期影响(例如,在最初的信息安全事件发生一段时间后,可能会出现重大灾难)。此外,对究全不可预见的信息安全事件作出某些响应是必要的,且它们同时需要专门的防护措施。即使在这种情况下,方案文件应该对必要的步骤提供一般性指南。) 3)评审
——按要求进行进一步法律取证分析;
——总结信息安全事件的经验教训并形成文件;
——根据所得的经验教训,评审和确定信息安全的改进;
——评审相关过程和规程在响应、评估和恢复每个铸患安全事件时的效率,根据所总结的经验教训,确定信息安全事件管瑗方案在总体上需要改进的地方;
——更新信息安全事态/事件数据库。
4) 改进——根据经验教训,进行如下改进: ——信息安全风险分析和管理结果;
——信息安全事件管理方案(例如过程和规程、报告单和/或组织结构); ——整体的安全,实施新的和/或经过改进的防护措施。
d)事态/事件严重性衡量尺度的细节(如严重或轻微,或重大、紧急、轻微、不要紧)以及相关指南;
e)在每个相关过程中决定是否需要上报和向谁报告的指南;及其相关规程。任何负责信息安全事态或事件评估工作的人员都应从信息安全事件管理方案文件提供的指南中知晓,在正常情况下,什么时候需要向上报错以及向谁报告。此外,还会有一些不可预见的情况可能也需要向上报告。例如,一个轻微的信息安全事件如果处理不当或在一年之内没有处理完毕,可能发展成重大事件或“危机”情况。指南旋定义信息安全事态和事件的类型、上报类型和由谁负责上报。
f)确保所有活动被记录程相成裘单中,以及日出分析指定人员完成所遵守的规程; g) 确保所维护的变更控制制度包括了信息安全事态和事件追踪、信息安全事件报告更新以及方案本身更新的规程和机制; h)法律取证分析的规程;
i)有关使用入侵检测系统(IDS)的规程和指南,确保相关法律法规问题都得到阐述(参见5.2.3)。这些指南中应包含对攻击者采取监视行动利弊问题的讨论。有关IDS的进一