8.7 安全事件管理

8.7.1 目的

確保快速、有效和有序地響應信息系統安全事件。

8.7.2 要求

采用一致和有效的方法對信息系統安全事件進行管理，包括對安全事態和弱點的通告。

8.7.3 實施指南

信息系統安全事件管理責任和規程考慮下列指南：
a)建立管理責任以確保以下規程被制定并在組織內得到充分的交流：

2) 監視、發現、分析和報告信息安全事態和事件的規程；

3) 記錄事件管理活動的規程；

4) 處理司法證據的規程；

5) 評估和決斷信息系統安全事態以及評估安全弱點的規程；

6) 包括升級、事件的受控恢復、與內外部人員或組織溝通在內的響應的規程。

a) 所建立的規程確保：

1) 勝任的人員處理組織內的信息系統安全事件相關問題；

2) 建立安全事件發現和報告的聯絡點。

b) 報告規程包含：

1) 準備信息系統安全事態報告表格，以便在信息系統安全事態發生時支持報告行動和幫助人員在報告時記住所有必要的行動；

2) 在信息安全事態發生時所采取的規程，例如立刻注意到所有細節（諸如不合規或違規的類型、發生的故障、屏幕上的消息），并立刻向聯絡點報告和僅采取協調行動；

3) 參考已建立的正式紀律處罰過程來處理安全違規的員工；

4) 適宜的反饋過程，以確保信息系統安全事態報告人員在問題被處理并關閉后得到結果的通知。

運維團隊知道他們有責任盡可能快地報告信息系統安全事態。他們還知道報告信息系統安全事態的規程和聯絡點。可進行信息系統安全事態報告的情況如下：

— 無效的安全控制；

— 違背信息完整性、保密性或可用性的預期；

— 人為差錯；

— 不符合策略或指南；

— 物理安全安排的違規；

— 不受控的系統變更；

— 軟件或硬件的故障；

— 非法訪問。

服務臺使用已商定文件化的信息系統安全事態和事件分級尺度評估每個信息系統安全事態，并決定該事態是否該歸于信息系統安全事件。事件的分級和優先級有助于標識事件的影響和程度。

詳細記錄評估和決策的結果，供日后參考和驗證。

對信息系統安全事件的嚴重程度予以不同的響應，甚至啟動應急響應。響應包括：

— 事件發生后盡快收集證據；

— 按要求進行信息安全取證分析；

— 按要求升級；

— 確保所有涉及的響應活動被適當記錄，便于日后分析；

— 處理發現的導致或促使事件發生的信息系統安全弱點；

— 一旦事件被成功處理，正式將其關閉并記錄。

制定內部規程，并在收集與處理用于紀律和法律目的的證據時遵守。這些規程考慮：

— 監管鏈；

— 證據的安全；

— 人員的安全；

— 所涉及人員的角色和責任；

— 人員的能力；

— 文件化，并有數字簽名；

— 簡報。