5.3 發現和報告

5.3 發現和報告

信息安全事件管理的第二階段通過人工或自動手段發現信息安全事態的發生和信息安全脆弱性的存在，收集相關信息并報告。在本階段中，事態和脆弱性可能尚未被歸為信息安全事件。

按照組織的報告策略進行安全事態報告便于在需要時開展后續分析。

在發現和報告階段，組織宜開展如下關鍵活動：

a) 適當時，監視并記錄系統和網絡活動；

b) 通過人工或自動方式，發現并報告信息安全事態的發生或信息安全脆弱性的存在；

c) 收集有關信息安全事態或脆弱性的信息；

d) 從內部和外部數據源收集態勢感知信息，包括本地系統和網絡的流量和活動日志、可能影響事件活動的當前政治、社會或經濟活動的新聞報道、事件趨勢的外部報道、新的攻擊向量、現有攻擊指標以及新的緩解對策和技術。

e) 確保正確地記錄所有的活動、結果和相關決策，以便后續分析；

f) 確保安全地收集和存儲數字證據，并且持續監控其保存安全，以備法律訴訟或內部紀律處分的證據之需。有關數字證據的識別、收集、獲取和保全的更詳細信息，參見附錄A中列出的調查類標準；

g) 確保變更控制機制得到遵循，以使信息安全事態和脆弱性能夠得到跟蹤，報告得到更新，并保持信息安全數據庫處于最新狀態；

h) 本階段需要的時候，升級去做進一步的評審或決策。

所有收集到的信息安全事態或脆弱性相關信息宜存儲在由IRT管理的信息安全數據庫中。在每項活動期間報告的信息宜盡可能做到當時是完整的，以支持評估、決策和所采取的行動。