6.12 事件響應（IR）

6.12.1　事件響應方針策略與規程（IR-1）

本項要求包括：

a) 應制定并發布事件響應方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布事件響應規程，以推動事件響應方針策略及與相關安全控制的實施；

c) 應定期對事件響應方針策略及規程進行評審和更新。

6.12.2　事件響應培訓（IR-2）

本項要求包括：

a) 應制定事件響應培訓計劃，并定期對ICS用戶進行符合其角色和責任的事件響應培訓；

b) 應定期或在ICS發生變更時向ICS用戶提供符合其角色和責任的事件響應培訓；

c) 組織把模擬事件和事件響應結合起來進行培訓，以便支持人員在危機情況下的有效響應；

d) 組織使用自動化機制，提供更全面、更真實的培訓環境。

6.12.3　事件響應測試和演練（IR-3）

本項要求包括：

a) 應定期以規定的測試方法測試方案的響應能力，以判斷事件響應的有效性，并記錄測試結果。

b) 應評審事件響應測試和演練的結果；如有不合格項應啟動糾正措施；

c) 組織使用自動化機制，更全面、更有效地測試或演練事件響應能力；

d) 測試數據應認真地加以選擇、保護和控制。

6.12.4　事件處理（IR-4）

本項要求包括：

a) 應具有應對安全事件的事件處理能力，包括準備、檢測和分析、控制、消除和恢復；

b) 應協調事件處理活動與應急規劃活動；

c) 應將當前事件處理活動的經驗，納入事件響應規程、培訓及測試/演練，并相應地實施變更；

d) 組織使用自動化機制，例如在線的事件管理系統，支持事件處理過程；

e) 組織關注ICS的動態重新配置，作為事件響應能力的一部分；

f) 組織標識事件類別（例如：有目標的有意攻擊，無目標的有意攻擊，由于設計或實現中的錯誤和忽略），并定義響應中所采取的合適動作，確保使命／業務運行的繼續；

g) 組織建立事件信息和單個事件響應的聯系，以實現組織范圍內有關事件認的知和響應之觀點；

h) ICS一旦出現組織定義的安全損壞列表中的損壞，組織為此實現可配置的能力，使其停止運行。

6.12.5　事件監控（IR-5）

本項要求包括：

a) 應跟蹤和記錄ICS安全事件。應當引起重視或進行重點監控的事件包括：網絡流量突然增大；磁盤空間溢出或空閑磁盤空間明顯減少；異常高的CPU使用率；新用戶賬號創建；試圖或實際使用超級管理員級的賬號； 賬戶鎖定；用戶不工作時，賬號仍在使用；清除日志文件；以不常用的大量事件塞滿日志文件；防病毒或IDS警報；不可用的防病毒軟件和其它安全控制措施；不期望的補丁變更；非法外聯；請求系統信息；配置設置的非期望更改；非期望的系統關閉或重啟。

b) 組織使用自動化機制，支持安全事件的跟蹤，支持事件信息的收集和分析。

6.12.6　事件報告（IR-6）

本項要求包括：

a) 應在規定時間內，向組織的事件響應部門報告可疑的安全事件；

b) 應向相關主管部門報告安全事件信息；

c) 應使用自動化機制，支持安全事件的報告；

d) 向合適的組織官員，報告ICS中與所報告的安全事件相關的弱點、不足和脆弱性。

6.12.7　事件響應幫助（IR-7）

本項要求包括：

a) 應提供事件響應支持資源，該資源是組織的事件響應能力必不可少的，以向ICS用戶處理、報告安全事件提供咨詢和幫助；

b) 組織使用自動化機制，增加與事件響應有關信息和支持的可用性；

c) 組織在其事件響應能力和外部提供方之間，建立一種直接協作的關系；向外部提供方，標識組織的事件響應小組成員。

6.12.8　事件響應計劃（IR-8）

本項要求包括：

a) 應制定事件響應計劃，該計劃應包括：實施路線圖；事件響應的結構和組織；滿足組織的有關使命、規模、結構和功能的特殊要求；定義可報告事件；定義必要的資源和管理支持，以維護和增強事件響應能力；

b) 應評審事件響應計劃并獲得批準，并向組織內事件響應人員分發；

c) 應定期評審事件響應計劃；

d) 應針對系統/組織的變更或事件響應計劃在實施、執行或測試中遇到的問題，更新計劃；

e) 應將事件響應計劃的變更通報組織內相關部門和人員；

f) 應使事件響應計劃處于受控狀態。