1、lCS 35040L 80 a雪中华人民共和国国家标准化指导性技术文件CBZ 20985-:20072007-06-14发布信息技术安全技术信息安全事件管理指南Information technology-Security techniques-Information security incident management guide(IS0IEC TR 18044:2004,MOD)丰瞀鹊鬻瓣訾雠瞥星发布中国国家标准化管理委员会捉11目 次前言一引言l范围一2规范性引用文件3术语和定义4缩略语5背景5i 目标52过程6信息安全事件管理方案的益处及需要应对的关键问题6一信息安全事件管理方案的
2、益处62关键问题7规划和准备71概述-72信息安全事件管理策略一73信息安全事件管理方案74信息安全和风险管理策略75 ISIRT的建立76技术和其他支持“77意识和培训-8使用8I概述-”82关键过程的概述83发现和报告84事态事件评估和决策85响应-9评审91概述92进一步的法律取证分析93经验教训94确定安全改进“95确定方案改进一10改j蛙101概述102安全风险分析和管理改进103改善安全状况”104改进方案105其他改进GBZ 20985-200700o:040ooo”M坫M博均趴孙弘孙孙孙”卯盯盯孙胛卯。GBZ 209852007附录A(资料性附录)信息安全事态和事件报告单示例附
3、录B(资料性附录)信息安全事件评估要点指南示例附录c(资料性附录)本指导性技术文件与ISOIEC TR 18044:2004的技术性差异及其原因参考文献28353839即 昌GBZ 20985-2007本指导性技术文件修改采用ISOIEC TR 18044:2004信息技术安全技术信息安全事件管理指南。考虑到我国国家标准的编写要求,以及与其他信息安全事件相关标准技术内容的协调性,本指导性技术文件在采用国际标准时,对部分内容进行了修改。其中,技术性差异用垂直单线标识在它们所涉及的条款的页边空白处。在附录c中给出了技术性差异及其原因的一览表以供参考。本指导性技术文件由全国信息安全标准化技术委员会提
4、出并归口。本指导性技术文件起草单位:中国电子技术标准化研究所、北京同方信息安全股份有限公司、北京知识安全工程中心、北京邮电大学。本指导性技术文件主要起草人:上官晓丽、闵京华、赵战生、王连强、徐国爱。GBZ 20985-2007引 言目前,没有任何一种具有代表性的信息安全策略或防护措施,能够对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致信息安全事件发生t并对组织的业务运行直接或间接产生负面影响。此外,以前未被认识到的威胁也可能会发生。组织如果对这些事件没有作好充分的应对准备,其任何实际响应措施的效率都会大打折扣,甚至还可能
5、加大潜在的业务负面影响的程度。因此,对于任何一个重视信息安全的组织来说,采用一种结构严谨、计划周全的方法来处理以下工作十分必要:发现、报告和评估信息安全事件对信息安全事件做出响应,包括启动适当的事件防护措施来预防和降低事件影响,以及从事件影响中恢复(例如,在支持和业务连续性规划方面)从信息安全事件中吸取经验教训,制定预防措施,并且随着时间的变化,不断改进整个的信息安全事件管理方法。信息技术安全技术信息安全事件管理指南GBZ 2098520071范围本指导性技术文件描述了信息安全事件的管理过程。提供了规划和制定信息安全事件管理策略和方案的指南。给出了管理信息安全事件和开展后续工作的相关过程和规程
6、。本指导性技术文件可用于指导信息安全管理者信息系统、服务和网络管理者对信息安全事件的管理。2规范性引用文件下列文件中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本指导性技术文件,然而,鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本指导性技术文件。GBT 197162005信息技术信息安全管理实用规则(ISOIEC 17799:2000,MOD)GBZ 20986-2007信息安全技术信息安全事件分类分级指南ISOIEC 133351
7、:2004信息技术安全技术信息和通信技术安全管理第1部分:信息和通信技术安全管理的概念和模型3术语和定义GBT 1 9762005、ISOIEC 133351:2004中确立的以及下列术语和定义适用于本指导性技术文件。31业务连续性规划business continuity planning这样的一个过程,即当有任何意外或有害事件发生,且对基本业务功能和支持要素的连续性造成负面影响时,确保运行的恢复得到保障。该过程还应确保恢复工作按指定优先级、在规定的时间期限内完成,且随后将所有业务功能及支持要素恢复到正常状态。这一过程的关键要素必须确保具有必要的计划和设施,且经过测试。它们包含信息、业务过程
8、、信息系统和服务、语音和数据通信、人员和物理设施等。32信息安全事态information security event被识别的一种系统、服务或网络状态的发生,表明一次可能的信息安全策略违规或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况。33信息安全事件information security incident由单个或一系列意外或有害的信息安全事态所组成,极有可能危害业务运行和威胁信息安全。34信息安全事件晌应组(ISIRT)Information Security Incident Response Team由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安
9、全事件相关的全部工作。1cBz 209852007有时,小组可能会有外部专家加入,例如来自一个公认的计算机事件响应组或计算机应急响应组(CERT)的专家。4缩略语CERT计算机应急响应组(Computer Emergency Response Team)ISIRT信息安全事件响应组(Information Security Incident Response Team)5背景51 且标作为任何组织整体信息安全战略的一个关键部分,采用一种结构严谨、计划周全的方法来进行信息安全事件的管理至关重要。这方法的目标旨在确保:信息安全事态可以被发现并得到有效处理,尤其是确定是否需要将事态归类为信息安全事件
10、”对已确定的信息安全事件进行评估并以最恰当和最有效的方式做出响应作为事件响应的一部分,通过恰当的防护措施可能的话,结合业务连续性计划的相关要素将信息安全事件对组织及其业务运行的负面影响降至最小;及时总结信息安全事件及其管理的经验教训。这将增加预防将来信息安全事件发生的机会改进信息安全防护措施的实施和使用,同时全面改进信息安全事件管理方案。52过程为了实现51所述的目标,信息安全事件管理由4个不同的过程组成:规划和准备(Plan and Prepare),使用(Use);评审(Review);改进(Improve)。(注:这些过程与ISOIEC 2700I:2005中的“规划(Plan)实施(D
11、o)一检查(Check)一处置(Act)”过程类似。)图1显示了上述过程的主要活动。1)应该指出的是,尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果,但在多数情况下信息安垒事态本身并不意味着破坏安全的企图真正获得了成功,因此也并不一定会对保密性、完整性和或可用性产生影响,也就是说,并非所有信息安全事态都会被归类为信息安全事件。规划和准备a)制定信息安全事件管理策略获得高级臂理层的承诺b)制定信息安全事件管理方案c)对公司及系统服务网络安全进行风险分析和管理。更新策略d)建立ISIRTe)发布信息安全件管理意讽倚报井开展培训f)测试信息安全事件管理方案使用a)检涮井报告信息安全
12、事态b)评估井决定是否将志归类为信息安全事件c)对信囊安全事件做出响应,其中包括进行法律取证分析评审a)进一步进行法律取证分析b)总结经验教训c)确定安全的敢进之处d)确定信息安全件t曩方案的改进之赴馥避a)改进安全风险分析和臂理评审的结果b)肩动对安全的馥避c)改进倌安全件管理方案GBZ 20985-2007图1 信息安全事件管理过程521规划和准备有效的信息安全事件管理需要适当的规划和准备。为使信息安全事件的响应有效,下列措施是必要的:a) 制定信息安全事件管理策略并使其成为文件,获得所有关键利益相关人,尤其是高级管理层对策略的可视化承诺;b) 制定信息安全事件管理方案并使其全部成为文件,
13、用以支持信息安全事件管理策略。用于发现、报告、评估和响应信息安全事件的表单、规程和支持工具,以及事件严重性衡量尺度的细节”,均应包括在方案文件中(应指出,在有些组织中,方案即为信息安全事件响应计划);c)更新所有层面的信息安全和风险管理策略,即,全组织范围的,以及针对每个系统、服务和网络的信息安全和风险管理策略,均应根据信息安全事件管理方案进行更新;d)确定一个适当的信息安全事件管理的组织结构,即信息安全事件响应组(ISIRT),给那砦可调用的、能够对所有已知的信息安全事件类型作出充分响应的人员指派明确的角色和责任。在大多数组织中,ISIRT可以是一个虚拟小组,是由一名高级管理人员领导的、得到
14、各类特定主题专业人员支持的小组,例如,在处理恶意代码攻击时,根据相关事件类型召集相关的专业人员;e)通过简报和或其他机制使所有的组织成员了解信息安全事件管理方案、方案能带来哪些益处以及如何报告信息安全事态。应该对管理信息安全事件管理方案的负责人员、判断信息安全事态是否为事件的决策者。以及参与事件调查的人员进行适当培训;2)应该建立“定级”事件严重性的衡量尺度。例如,可基于对组织业务运行的实际或预期负面影响的程度,分为“严重”和“轻微”两个级别。GBZ 20985-2007f) 全面测试信息安全事件管理方案。第7章中对规划和准备阶段作了进一步描述。522使用下列过程是使用信息安全事件管理方案的必
15、要过程:a) 发现和报告所发生的信息安全事态(人为或自动方式);b) 收集与信息安全事态相关的信息,通过评估这些信息确定哪些事态应归类为信息安全事件;c) 对信息安全事件作出响应:1)立刻、实时或接近实时;2)如果信息安全事件在控制之下,按要求在相对缓和的时间内采取行动(例如,全面开展灾难恢复工作);3)如果信息安全事件不在控制之下,发起“危机求助”行动(如召唤消防队部门或者启动业务连续性计划);4) 将信息安全事件及任何相关的细节传达给内部和外部人员和或组织(其中可能包括按要求上报以便进一步评估和或决定);5)进行法律取证分析i6) 正确记录所有行动和决定以备进一步分析之用;7)结束对已经解
16、决事件的处理。第8章中对使用阶段作了进一步描述。523评审在信息安全事件已经解决或结束后,进行以下评审活动是必要的:a) 按要求进行进一步法律取证分析;b) 总结信息安全事件中的经验教训c)作为从一次或多次信息安全事件中吸取经验教训的结果,确定信息安全防护措施实施方面的改进;d)作为从信息安全事件管理方案质量保证评审(例如根据对过程、规程、报告单和或组织结构所作的评审)中吸取经验教训的结果,确定对整个信息安全事件管理方案的改进。第9章中对评审阶段作了进一步描述。524改进应该强调的是,信息安全事件管理过程虽然可以反复实施,但随着时间的推移,有许多信息安全要素需要经常改进。这些需要改进的地方应该
17、根据对信息安全事件数据、事件响应以及一段时间以来的发展趋势所作评审的基础上提出。其中包括:a) 修订组织现有的信息安全风险分析和管理评审结果;b) 改进信息安全事件管理方案及其相关文档;c)启动安全的改进,可能包括新的和或经过更新的信息安全防护措施的实施。第10章对改进阶段作了进一步描述。6信息安全事件管理方案的益处及需要应对的关键问题本章提供了以下信息:一个有效的信息安全事件管理方案可带来的益处使组织高级管理层以及那些提交和接收方案反馈意见的人员信服所必须应对的关键问题。61 信息安全事件管理方案的益处任何以结构严谨的方法进行信息安全事件管理的组织均能收效匪浅。一个结构严谨、计划周全的信息安
18、全事件管理方案带来的益处,可分为以下几类:4GBZ 20985-2007a) 提高安全保障水平;b) 降低对业务的负面影响,例如由信息安全事件所导致的破坏和经济损失;c) 强化着重预防信息安全事件;d)强化调查的优先顺序和证据;e) 有利于预算和资源合理利用;f) 改进风险分析和管理评审结果的更新g) 增强信息安全意识和提供培训计划材料;h) 为信息安全策略及相关文件的评审提供信息。下面逐一介绍这些主题。611提高安全保障水平一个结构化的发现、报告、评估和管理信息安全事态和事件的过程,能使组织迅速确定任何信息安全事态或事件并对其做出响应,从而通过帮助快速确定并实施前后一致的解决方案和提供预防将
19、来类似的信息安全事件再次发生的方式,来提高整体的安全保障水平。612降低对业务的负面影响结构化的信息安全事件管理方法有助于降低对业务潜在的负面影响的级别。这些影响包括当前的经济损失,及长期的声誉和信誉损失。613强调以事件预防为主采用结构化的信息安全事件管理有助于在组织内创造一个以事件预防为重点的氛围。对与事件相关的数据进行分析,能够确定事件的模式和趋势,从而便于更准确地对事件重点预防,并确定预防事件发生的适当措施。614强化调查的优先顺序和证据一个结构化的信息安全事件管理方法为信息安全事件调查时优先级的确定提供了可靠的基础。如果没有清晰的调查规程,调查工作便会有根据临时反应进行的风险,在事件
20、发生时才响应只按照相关管理层的“最大声音”行事。这样会阻碍调查工作进入真正需要的方面和遵循理想的优先顺序进行。清晰的事件调查规程有助于确保数据的收集和处理是证据充分的、法律所接受的。如果随后要进行法律起诉或采取内部处罚措施的话,这些便是重点的考虑事项。然而应该认识到的是,从信息安全事件中恢复所必须采取的措施,可能危害这种收集到的证据的完整性。615预算和资源定义明确且结构化的信息安全事件管理,有助于正确判断和简化所涉及组织部门内的预算和资源分配。此外,信息安全事件管理方案自身的益处还有:可用技术不太熟练的员工来识别和过滤虚假警报;可为技术熟练员工的工作提供更好的指导可将技术熟练员工仅用于那些需
21、要其技能的过程以及过程的阶段中。此外,结构化的信息安全事件管理还包括“时间戳”从而有可能“定景”评估组织对安全事件的处理。例如,它可以提供信息说明解决处于不同优先级和不同平台上的事件需要多长时间。如果信息安全事件管理的过程存在瓶颈,也应该是可识别的。616信息安全风险分析和管理结构化的信息安全事件管理方法有助于:可为识别和确定各种威胁类型及相关脆弱性的特征,收集质量更好的数据;提供有关已识别的威胁类型发生频率的数据。从信息安全事件对业务运行的负面影响中获取的数据,对于业务影响分析十分有用。识别各种威胁类型发生频率所获取的数据,对威胁评估的质量有很大帮助。同样,有关脆弱性的数据对保证将来脆5GB
22、Z 20985-2007弱性评估的质量帮助很大。这方面的数据将极大地改进信息安全风险分析和管理层评审结果。617信息安全意识结梅化的信息安全事件管理可以为信息安全意识教育计划提供重要信息。这些重要信息将用实例表明信息安全事件确实发生在组织中,而并非“只是发生在别人身上”。它还可能表明,迅速提供有关解决方案的信息会带来哪些益处。此外,这种意识有助于减少员工遭遇信息安全事件时的错误或惊慌混乱。618为信息安全策略评审提供信息信息安全事件管理方案所提供的数据可以为信息安全策略(以及其他相关信息安全文件)的有效性评审以及随后的改进提供有价值的信息。这可应用于适合整个组织以及单个系统、服务和网络的策略和
23、其他文件。62关键问题在信息安全事件管理方法中得到的反馈,有助于确保相关人员始终将关注点集中在组织的系统、服务和网络面I临的实际风险上。这一重要的反馈通过在事件发生时的专门处理是不能有效得到的。只有通过使用一个结构化的、设计明确的信息安全事件处理管理方案,且该方案采用一个适用于组织所有部分的通用框架,才能更有效得到。这样的框架应该能使该方案持续产生更加全面的结果。从而可以在信息安全事件发生之前迅速识别信息安全事件可能出现的情况有时,这也被称作“警报”。信息安全事件管理方案的管理和审核应该能为促进组织员工的广泛参与,以及消除各方对保证匿名性、安全和有用结果的可用性等方面的担忧,奠定必要的信任基础
24、。例如,管理和运行人员必须对“警报”能够给出及时、相关、精确、简洁和完整的信息充满信心。组织应避免在实施信息安全事件管理方案的过程中可能遇到的问题,如缺少有用结果和对隐私相关问题的关注等。必须使利益相关人相信,组织已经采取措施预防这些问题的发生。因此,为实现一个良好的信息安全事件管理方案,必须将一些关键问题阐述清楚,这些问题包括:a)管理层的承诺;b)安全意识;c)法律法规Id)运行效率和质量;e)匿名性;f)保密性;g)可信运行;h)系统化分类。下面将逐一讨论这些问题。621管理层的承诺要使整个组织接受一个结构化的信息安全事件管理方法,确保得到管理层的持续承诺,这一点至关重要。组织员工必须能
25、够认识到事件的发生,并且知道应该采取什么行动,甚至了解这种事件管理方法可以给组织带来的益处。然而,除非得到管理层的支持,否则这一切都不会出现。必须将这一理念灌输给管理层,以使组织对事件响应能力的资源方面和维护工作做出承诺。622安全意识对于组织接受一个结构化的信息安全事件管理方法而言,另一个重要的问题是安全意识。即使要求用户参与信息安全事件管理,但是用户如果不r解自己以及自己所在部门会从该结构化的信息安全事件管理中得到哪些益处,他们的参与很可能不会有太好效果。任何信息安全事件管理方案都应该具有意识计划定义文件,并在文件中规定以下细节:a) 组织及其员工可以从结构化的信息安全事件管理中得到的益处
26、;GBZ 20985-2007b)信息安全事态事件数据库中的事件信息及其输出;c)提高员工安全意识计划的战略和机制#根据组织的具体情况,它们可能是独立的,或者是更广泛的信息安全意识教育计划的一部分。623法律法规以下与信息安全事件管理相关的法律法规问题应在信息安全事件管理策略和相关方案中进行阐述。a) 提供适当的数据保护和个人信息隐私。一个组织结构化的信息安全事件管理,必须考虑到满足我国在数据保护和个人信息隐私方面的相关政策、法律法规的要求,提供适当的保护,其中可能包括:1) 只要现实、可行,保证可以访问个人数据的人员本身不认识被调查者;2)需要访问个人数据的人员在被授权访问之前,应签订不泄露
27、协议;3) 信息应被仅用于获取它的特定目的,如信息安全事件调查。b)适当保留记录。按国家相关规定,组织需要保留适当的活动记录,用于年度审计,或生成执法所用的档案(如可能涉及严重犯罪或渗透敏感政府系统的任何案件)。c)有防护措施以确保合同责任的履行。在要求提供信息安全事件管理服务的合同中,例如,合同中对事件响应时间提出了要求组织应确保提供适当的信息安全以便在任何情况下,这些责任都能得到履行。(与之相应。如果组织与某外部方签订了支持合同(参见754),如CERT,那么,应该确保包括事件响应时间在内的所有要求均包吉在与该外部方签订的合同中。)d) 处理与策略和规程相关的法律问题。应检查与信息安全事件
28、管理方案相关的策略和规程是否存在法律法规问题,例如。是否有对事件责任人采取纪律处罚和或法律行动的有关声明。e)检查免责声明的法律有效性。对于有关信息事件管理组以及任何外部支持人员的行动的所有免责声明,均应检查其法律有效性。f) 与外部支持人员的合同涵盏要求的各个方面。对于与任何外部支持人员(如来自某CERT)签订的合同,均应就免责、不泄露、服务可用性、错误建议的后果等要求进行全面检查。g) 强制性不泄露协议。必要时,应要求信息安全事件管理组的成员签订不泄露协议。h) 阐明执法要求。根据相关执法机构的要求,对需要提供的信息安全事件管理方案相关的问题,进行明确说明。如,可能需要阐明如何按法律的最低
29、要求记录事件以及事件文件应保存多长时间。i) 明确责任。必须将潜在的责任问题以及应该到位的相关防护措施阐述清楚。以下是可能与责任问题相关的几个例子:1) 事件可能对另一组织造成影响(如泄露了共享信息)。而该组织却没有及时得到通知,从而对其产生负面影响l2) 发现产品的新脆弱性后没有通知供应商,随后发生与该脆弱性相关的重大事件,给一个或多个其他组织造成严重影响;3)按照国家相关法律法规,对于像严重犯罪,或者敏感的政府系统或部分关键国家基础设施被渗透之类案件,组织没有按要求向执法机关报告或生成档案文件;4) 信息的泄露表明某个人或组织与攻击相关联。这可能会危害所涉及的个人或组织的声誉和业务;5)信
30、息的泄露表明可能是软件的某个环节出了问题但随后发现这并不属实。j) 阐明具体规章要求。凡是有具体规章要求的地方,都应将事件报告给指定部门Ik)保证司法起诉或内部处罚规程取得成功。无论攻击是技术性的还是物理的,都应采取适当的信息安全防护措施(其中包括可证明数据被篡改的审计踪迹),以便成功起诉攻击者或者根据内部规程惩罚攻击者。为了达到目的。就必须以法院或其他处罚机关所接受的方式收集证据。证据必须显示:7GBZ 20985-20071)记录是完整的,且没有经过任何篡改2) 可证明电子证据的复制件与原件完全相同;3) 收集证据的任何IT系统在记录证据时均运行正常。1) 阐明与监视技术相关的法律问题。必
31、须依照国家相关的法律阐明使用监视技术的目的。有必要让人们知道存在对其活动的监视,包括通过监控技术进行的监视行动,十分重要。采取行动时需要考虑的因素有:什么人哪些活动受监视、如何对他们它们进行监视以及何时进行监视。有关入侵检测系统中监视监控活动内容的描述可参见ISOIEC TR 18043。m) 制定和传达可接受的使用策略。组织应对可接受的做法用途做出明确规定、形成正式文件并传达给所有相关用户。例如,应使用户了解可接受的使用策略,且要求用户填写书面确认,表明他们在参加组织或被授予信息系统访问权时,了解并接受该策略。624运行效率和质量结构化的信息安全事件管理的运行效率和质量取决于诸多因素,包括通
32、知事件的责任、通知的质量、易于使用的程度、速度和培训。其中有些因素与确保用户了解信息安全事件管理的价值和积极报告事件相关。至于速度,报告事件所花费的时间不是唯一因素,还包括它处理数据和分发处理的信息所用的时间(尤其是在警报的情况下)。应通过信息安全事件管理人员的支持“热线”来补充适当的意识和培训计划,以便将事件延迟报告的时间降至最低。625匿名性匿名性问题是关系到信息安全事件管理成功的基本问题。应该使用户相信,他们提供的信息安全事件的相关信息受到完全的保护,必要时,还会进行相应处理,从而使这些信息与用户所在组织或部门没有任何关联除非协议中有相关规定。信息安全事件管理方案应该阐明这些情况,即必须
33、确保在特定条件下报告潜在信息安全事件的人员或相关方的匿名性。各组织应做出规定,明确说明报告潜在信息安全事件的个人或相关方是否有匿名要求。ISIRT可能需要获得另外的、并非由事件报告人或报告方最初转达的信息。此外,有关信息安全事件本身的重要信息可从第一个发现到该事件的人员处获得。626保密性信息安全事件管理方案中可能包含敏感信息,而处理事件的相关人员可能需要运用这些敏感信息。那么在处理过程中,或者信息应该是“匿名的”,或者有权访问信息的人员必须签订保密性协议。如果信息安全事态是由一个一般性问题管理系统记录下来的,则可能不得不忽略敏感细节。此外,信息安全事件管理方案应该做出规定,控制将事件通报给媒
34、体、业务伙伴、客户、执法机关和普通公众等外部方。627可信运行任何信息安全事件管理组应该能够有效地满足本组织在功能、财务、法律、策略等方面的需要,并能在管理信息安全事件的过程中,发挥组织的判断力。信息安全事件管理组的功能还应独立地进行审计,以确定所有的业务要求有效地得以满足。此外,实现独立性的另一个好办法是,将事件响应报告链与常规运行管理分离,且任命一位高级管理人员直接负责事件响应的管理工作。财务运作方面也应与其他财务分离,以免受到不当影响。628系统化分类一种反映信息安全事件管理方法总体结构的通用系统化分类,是提供一致结果的关键因素之一。这种系统化分类连同通用的度量机制和标准的数据库结构一起
35、,将提供比较结果、改进警报信息,和生成信息系统威胁及脆弱性的更加准确的视图的能力。”83)定义通用系统化分类不是本标准的目的。读者可参考有关该信息的其他相关资源。7规划和准备GBZ 20985-2007信息安全事件管理的规划和准备阶段应着重于:将信息安全事态和事件的报告及处理策略,以及相关方案(包括相关规程)形成正式文件;安排合适的事件管理组织结构和人员;制定安全意识简报和培训计划。这一阶段的工作完成后,组织应为恰当地管理信息安全事件作好了充分准备。71概述要将信息安全事件管理方案投入运行使用并取得良好的效率和效果,在必要的规划之后。需要完成大量准备工作。其中包括:a) 制定和发布信息安全事件
36、管理策略并获得高级管理层的承诺(参见72);b)制定详细的信息安全事件管理方案(参见73)并形成正式文件。方案中包括以下主题:1)用于给事件“定级”的信息安全事件严重性衡量尺度。如42,1所述,可根据事件对组织业务运行的实际或预计负面影响的大小,将事件划分为“严重”和“轻微”两个级别;2)信息安全事态”和事件”报告单6(附录A列举了几种报告单)、相关文件化规程和措施,连同使用数据和系统、服务和或阿络备份以及业务连续性计划的标准规程;3) 带有文件化的职责的ISIRT的运行规程,以及执行各种活动的被指定人员”的角色的分配,例如,包括:在事先得到相关IT和或业务管理层同意的特定情况下,关闭受影响的
37、系统、服务和或网络;保持受影响系统、服务和或网络的连接和运行;监视受影响系统、服务和或网络的进出及内部数据流;根据系统、服务和或网络安全策略启动常规备份和业务连续性规划规程及措施;监控和维护电子证据的安全保存,以备法律起诉或内部惩罚之用;将信息安全事件细节传达给内部和外部相关人员或组织。c) 测试信息安全事件管理方案及其过程和规程的使用(参见735),d)更新信息安全和风险分析及管理策略,以及具体系统、服务或网络的信息安全策略,包括对信息安全事件管理的引用,确保在信息安全事件管理方案输出的背景下定期评审这些策略(参见74);e) 建立ISIRT,并为其成员设计、开发和提供合适的培训计划(参见7
38、5)f) 通过技术和其他手段支持信息安全事件管理方案(以及ISIRT的工作)(参见76);g)设计和开发信息安全事件管理安全意识计划(参见77)并将其分发给组织内所有员工(当有人员变更时重新执行一次)。以下各节逐条描述了上述各项活动,其中包括所要求的每个文件的内容。72信息安全事件管理策略72I 目的信息安全事件管理策略面向对组织信息系统和相关位置具有合法访问权的每一位人员。4) 报告单由报告人填写(即不是由信息安全事件管理组成员填写)。5)信息安全事件管理人员使用报告单编写有关信息安全事态的初步报告。井保留事件评估等的运行记录直至事件被完全解决。在每个阶段,都需更新信息安全事态事件数据库。所
39、填写的报告单信息安全事态事件数据库记录随后会用于事件的善后工作。6) 如果可能应将这些报告单制成电子表单(如在安全的web网页上)。并且可与电子形式的信息安全事态事件数据库链接。在当今世界上,基于纸质的方案耗时费力,不是效率最佳的运行方式。7)在规模较小的组织中,可指派一个人承担多个角色。9GBZ 20985-2007722读者信息安全事件管理策略应经组织高级执行官的批准,并得到组织所有高级管理层确认的文件化的承诺。应对所有的组织成员及组织的合同商可用,还应在信息安全意识简报和培训中有所提及(参见77)。723内窖信息安全事件管理策略的内容应涉及以下主题:a)信息安全事件管理对于组织的重要性,
40、以及高级管理层对信息安全事件管理及其相关方案作出的承诺b)对信息安全事态发现、报告和相关信息收集的概述,以及如何将这些信息用于确定信息安全事件。概述中应包含对信息安全事态的可能类型,以及如何报告、报告什么、向哪个部门以及向谁报告信息安全事态等内容的归纳,还包括如何处理全新类型的信息安全事态;c) 信息安全事件评估的概述,其中包括具体负责的人员、必须采取的行动以及通知和上报等;d)确认一个信息安全事态为信息安全事件后所应采取的行动的概要,其中应该包括:1)立即响应;2)法律取证分析3) 向所涉及人员和相关第三方传达l4) 考虑信息安全事件是否在可控制状态下;5)后续响应;6)“危机求助”发起;7
41、)上报标准8)具体负责的人员0e)f)g)h)确保所有活动都得到恰当记录以备日后分析,以及为确保电子证据的安全保存而进行持续监控,以供法律起诉或内部处罚I信息安全事件得到解决后的活动,包括事后总结经验教训和改进过程;方案文件(包括规程)保存位置的详细信息lISIRT的概述,围绕以下主题:1)SIRT的组织结构和关键人员的身份,其中包括由谁负责以下工作:向高级管理层简单说明事件的情况I处理询问、发起后续工作等;对外联系(必要时)。2) 规定了ISIRT的具体工作以及ISIRT由谁授权的信息安全管理章程。章程至少应该包括ISIRT的任务声明、工作范围定义以及有关ISIRT董事会级发起人及其授权的详
42、细情况;3)着重描述1S1RT核心活动的任务声明。要想成为一个真正的ISIRT,该小组应该支持对信息安全事件的评估、响应和管理工作,并最终得出成功的结论。该小组的目标和目的尤为重要,需要有清晰明确的定义;4)定义ISIRT的工作范围。通常一个组织的ISIRT工作范围应包括组织所有的信息系统、服务和网络。有的组织可能会出于某种原因而将ISIRT工作范围规定得较小,如果是这种情况应该在文件中清楚地阐述ISIRT工作范围之内和之外的对象;5)作为发起者并授权ISIRT行动的高级执行官董事会成员高级管理人员的身份,以及ISIRT被授权的级别。了解这些有助于组织所有人员理解ISIRT的背景和设置情况,且
43、对于建立对ISIRT的信任至关重要。应该注意的是,在这些详细信息公布之前,应该从法律角度对其进行审查。在有些情况下,泄漏一个小组的授权信息会使该小组的可靠性声明失效。GBZ 20985-2007i)信息安全事件管理安全意识和培训计划的概述;j) 必须阐明的法律法规问题的总结(参见523)。73信息安全事件管理方案731 目的信息安全事件管理方案的目的是提供一份文件,对事件处理和事件沟通的过程和规程作详细说明。一旦发现到信息安全事态,信息安全事件管理方案就开始起作用。该方案被用作以下活动的指南:对信息安全事态作出响应;确定信息安全事态是否为信息安全事件;对信息安全事件进行管理,并得出结论;总结经
44、验教训,并确定方案和或总体的安全需要改进的地方;执行已确定的改进工作。732读者应将信息安全事件管理方案告示给组织全体员工,因此,包括负责以下工作的员工:发现和报告信息安全事态,可以是组织内任何员工,无论是正式工还是合同工;评估和响应信息安全事态和信息安全事件,以及事件解决后必要的经验教训总结、改进信息安全和修订信息安全事件管理方案的工作。其中包括运行支持组(或类似的工作组)成员、ISIRT、管理层、公关部人员和法律代表。还应该考虑任何第三方用户,以及报告信息安全事件及相关脆弱性的第三方组织、政府和商业信息安全事件和脆弱性信息提供组织。733内容信息安全事件管理方案文件的内容应包括ta) 信息
45、安全事件管理策略的概述,b)整个信息安全事件管理方案的概述Ic)与以下内容相关的详细过程和规程”以及相关工具和衡量尺度的信息:1)规划和准备发现和报告发生的信息安全事态(通过人工或自动方式);收集有关信息安全事态的信息使用组织内认可的事态事件严重性衡量尺度进行信息安全事态评估,确定是否可将它们重新划分为信息安全事件#2)使用(当确认发生了信息安全事件时)将发生的信息安全事件或任何相关细节传达给其他内部和外部人员或组织;根据分析结果和已确认的严重性级别,启动立即响应,其中可能包括启动恢复规程和或向相关人员传达;按要求和相关的信息安全事件的严重性级别,进行法律取证分析,必要时更改事件级别;确定信息
46、安全事件是否处于可控制状态;做出任何必要的进一步响应。包括在后续时间可能需要做出的响应(例如,在实施一次灾难的完全恢复工作中)如果信息安全事件不在控制下。发起“危机求助”行动(如呼叫消防队部门或者启动业务连续性计划);按要求上报,便于进一步评估和或决策8) 组织可自己决定是将所有规程放人到方案文件中,还是通过附加文件详细阐明全部或部分规程GBZ 20985-2007确保所有活动被恰当记录,以便于日后分析;更新信息安全事态事件数据库;(信息安全事件管理方案文件应考虑对信息安全事件的立即响应和长期响应。所有的信息安全事件都需要提早评估其潜在负面影响,包括短期和长期影响(例如,在最初的信息安全事件发生一段时间后,可能会出现重大灾难)。此外,对完全不可预见的信息安全事件作出某些响应
