信息安全事件管理指南

1、信息安全事件管理指南1范圍本指導性技術文件描述了信息安全事件的管理過程。提供了規(guī)劃和制定信息安全事件管理策略和方案的指南。給出了管理信息安全事件和開展后續(xù)工作的相關過程和規(guī)程。本指導性技術文件可用于指導信息安全管理者，信息系統(tǒng)、服務和網(wǎng)絡管理者對信息安全事件的管理。2規(guī)范性引用文件下列文件中的條款通過本指導性技術文體的引用兩成為本指導性技術文件的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)騫）或修訂版均不適用于本指導性

2、技術文件，然而，鼓勵根據(jù)本指導性技術文件達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用子本指導性技術文件。GBT19716—2005信息技術信息安全管理實用規(guī)則(ISOIEC17799：2000MOD)GBZ20986—2007信息安全技術信息安全事件分類分級指南ISOIEC13335I：2004信息技術安念技術信息和通信技術安全管理第1部分：信息和通信技術安全管理的概念和模型3術語和定義GBT1

3、97162005、ISOIEC13335I：2004中確立的以及下列術語和定義適用于本指導性技術文件。3.1業(yè)務連續(xù)性規(guī)劃businesscontinuityplanning這樣的一個過程，即當有任何意外或有害事件發(fā)生，且對基本業(yè)務功能和支持要素的連續(xù)性造成負面影響時，確保運行的恢復得到保障。該過程還應確保恢復工作按指定優(yōu)先級、在規(guī)定的時間期限內(nèi)完成，且隨后將所有業(yè)務功能及支持要素恢復到正常狀態(tài)。這一過程的關鍵要素必須確保具有必要的計劃

4、和設施，且經(jīng)過測試，它們包含信息、業(yè)務過程、信息系統(tǒng)和服務、語音和數(shù)據(jù)通信、人員和物理設施等。3.2信息安全事態(tài)infmationsecurityevent被識別的一種系統(tǒng)、服務或網(wǎng)絡狀態(tài)的發(fā)生，表明一次可能的信息安全策略違規(guī)或某些防護措施失效，或者一種可能與安全相關但以前不為人知的一種情況。評審（Revew）改進（Improve）(注：這些過程與ISOIEC27001:2005中的“規(guī)劃（Plan）實施（Do）檢查（Check）處置（

5、Act）”過程類似.)圖1顯示了上述過程的主要活動.1)應該指出的是，盡管信息安全事態(tài)可能是意外或故意違反信息安全防護措施的企圖的結果，但在多數(shù)情況下，信息安全事態(tài)本身并不意味著破壞安全的企圖真正獲得了成功，因此也并不一定會對保密性、完整性或可用性產(chǎn)生影響，也就是說，并非所有信息安全事態(tài)都會被歸類為信息安全事件。5.2.1規(guī)劃和準備有效的信息安全事件管理需要適當?shù)囊?guī)劃和準備。為使信息安全事件的響應有效，下列措施是必要的：a)制定信息安全

6、事件管理方案并使其成為文件，獲得所有關鍵利益相關人，尤其是高級管理層對策略的可是化承諾；b)制定信息安全事件管理方案并使其全部成為文件，用以支持信息安全事件管理策略。用于發(fā)現(xiàn)、報告、評估和響應信息安全事件的表單、規(guī)程和支持工具，以及事件嚴重性衡量尺度的細節(jié)2），均應包括在方案文件中（應指出，在有些組織中，方案即為信息安全事件響應計劃）；c)更新所有層面的信息安全和風險管理策略，即，全組織范圍的，以及針對每個系統(tǒng)、服務和網(wǎng)絡的信息安全和風

7、險管理策略，均應根據(jù)信息安全事件管理方案進行更新；規(guī)劃和準備d)確定一個適當?shù)男畔踩录芾淼慕M織結構，即信息安全事件響應組（ISIRT），給那些可調(diào)用的、能夠?qū)λ幸阎男畔踩录愋妥鞒龀浞猪憫娜藛T指派明確的角色和責任。在大多數(shù)組織中，ISIRT可以是一個虛擬小組，是由一名高級管理人員領導的、得到各類特定主題專業(yè)人員支持的小組，例如，在處理惡意代碼攻擊時，根據(jù)相關事件類型召集相關的專業(yè)人員。e)通過簡報和或其他幾只使所有的組織