5.4 評估和決策

5.4 評估和決策

信息安全事件管理的第三階段對信息安全事態發生的相關信息進行評估，并判斷是否將事態歸為信息安全事件。

一旦信息安全事態被發現和報告，宜進行如下后續活動：

a) 對參與評估、決策和行動的人員（包括安全和非安全領域人員），通過適當的層次結構，分配信息安全事件管理活動的責任；

b) 為每一個被通知的人員提供遵從的正式規程，包括評審和修改報告，評估損害和通知相關人員。單個人的行動將取決于事件的類型和嚴重性；

c) 按照指南對信息安全事態以及在被歸為信息安全事件后的后續行動進行完整的文檔化。

在評估和決策階段，組織宜進行如下關鍵活動：

— 收集信息，可包括信息安全事態發現時采集到的測試、測量和其他數據。收集到的信息類型和數量將取決于已發生的信息安全事態。

— 由事件處理者進行評估，來確定該事態是否可能是或被確認為信息安全事件，或者是一次誤報。誤報（即假陽性）表明所報告的事態是不真實的或無任何后果。如果需要的話，IRT可進行質量評審以確保事件處理者的事件聲明是正確的。

— 確保所有參與方，特別是IRT，正確地記錄了所有活動、結果和相關決策以便后續分析。

— 確保變更控制機制得到保持，以便涵蓋住信息安全事態和脆弱性的跟蹤以及事件報告的更新，并保持信息安全數據庫處于最新狀態；

所有收集到的信息安全事態、事件或脆弱性相關信息宜存儲在由IRT管理的信息安全數據庫中。在每項活動期間報告的信息宜盡可能做到當時是完整的，以支持評估、決策和所采取的行動。