5.5 響應

5.5 響應

信息安全事件管理的第四階段按照在評估和決策階段所決定的行動響應信息安全事件。響應可能是立即的、實時的或接近實時的，并且一些響應可能包含信息安全調查，這些均取決于決策。

一旦信息安全事件被確認且響應被確定，宜進行如下后續活動：

a) 對參與決策和行動的人員（包括安全和非安全領域人員）通過適當的層次結構，分配信息安全事件管理活動的責任；

b) 為每一個參與人員提供遵從的正式規程，包括評審和修改報告，再評估損害和通知相關人員。單個人的行動將取決于事件的類型和嚴重性；

c) 按照指南對信息安全事件和后續行動進行完整的文檔化。

在響應階段，組織宜進行如下關鍵活動：

— 根據需要并相對于信息安全事件分級的級別評分，對事件進行調查。必要時宜變更級別。調查可包括各種類型的分析來提供對事件更深入的理解。

— 由IRT評審來確定信息安全事件是否在可控范圍內，如果是，則執行所需的響應。如果事件不在可控范圍內或將對組織運行產生嚴重影響，則通過升級到危機處理模式來執行危機響應活動。

— 分配內部資源并識別外部資源來響應事件。

— 本階段需要的時候，升級去做進一步的評審或決策。

— 確保所有參與方，特別是IRT，正確地記錄了所有活動以便后續分析。

— 確保安全地收集和存儲數字證據，并且持續監控其保存安全，以備法律訴訟或內部紀律處分的證據之需。有關數字證據的識別、收集、獲取和保全的更詳細信息，參見附錄A中列出的調查類標準。

— 確保變更控制機制得到保持，以便涵蓋住信息安全事態和脆弱性的跟蹤以及事件報告的更新，并保持信息安全數據庫處于最新狀態。

— 按照組織及IRT溝通計劃和信息披露策略，與其他內部的和外部的人員或組織，就信息安全事件的存在進行溝通，并共享任何相關細節（例如，威脅、攻擊和脆弱性信息）。尤為重要的是，通知資產所有者（在影響分析期間確定的）以及內部和外部組織（例如，其他事件響應團隊、執法機構、互聯網服務提供商和信息共享組織），以便獲得對事件管理和解決的幫助。由于同樣的威脅和攻擊經常影響多個組織，共享信息也會給其他組織帶來益處。有關信息共享的更多細節，參見ISO/IEC 27010。

— 從事件中恢復后，宜根據事件的性質和嚴重性啟動后事件活動，包括

— 事件相關信息的調查；

— 其他相關原因（諸如涉及人員）的調查；

— 調查結果的總結報告。

— 一旦事件已得到解決，宜按照IRT或上級組織的要求關閉該事件處理，并通知所有利益相關者。

所有收集到的信息安全事態、事件或脆弱性相關信息宜存儲在由IRT管理的信息安全數據庫中。在每項活動期間報告的信息宜盡可能做到當時是完整的，以支持評估、決策和所采取的行動，包括潛在的進一步分析。