5.6 經驗總結

5.6 經驗總結

信息安全事件管理的第五個階段始于信息安全事件已得到解決。這個階段從事件（和脆弱性）如何得到處理中汲取經驗教訓。

在經驗總結階段，組織宜進行如下關鍵活動：

a) 從信息安全事件和脆弱性中汲取經驗教訓；

b) 評審、識別和改進信息安全控制的實施（新的或更新的控制），以及信息安全事件管理策略。經驗可來自一個或多個信息安全事件或報告的安全脆弱性。組織策略中有關信息安全控制投入的指標有助于改進。

c) 評審、識別和改進組織現有的信息安全風險評估和管理評審；

d) 評審過程、規程、報告格式和組織結構在響應和評估信息安全事件并從中恢復以及處理信息安全脆弱性方面的有效性。基于經驗總結，識別和改進信息安全事件管理計劃及其文檔化。

e) 與可信團體溝通和共享評審結果（如果組織有此意愿的話）。

f) 決定事件信息、相關攻擊向量和脆弱性是否可共享給合作伙伴組織，以為防止相同事件在他們的環境中重演提供幫助。有關更多細節，參見關于信息共享的ISO/IEC 27010。

g) 對IRT表現和有效性進行周期性的綜合評價。

需要強調的是，信息安全事件管理活動是迭代的，因此組織宜隨時間推移定期改進一些信息安全要素。這些改進宜基于對有關信息安全事件、響應和報告的信息安全脆弱性的數據進行評審來提出。

GB/T 20985.2詳細描述了上述每項活動。