16.1信息安全事件的管理和改進

16.1信息安全事件的管理和改進

16.1.1責任和規程

控制
宜建立管理責任和規程，以確保快速、有效和有序地響應信息安全事件。
實現指南
信息安全事件管理責任和規程宜考慮下列指南：
a) 宜建立管理責任以確保以下規程被制定并在組織內得到充分的交流：
1) 規劃和準備事件響應的規程
2) 監視、發現、分析和報告信息安全事態和事件的規程；
3) 記錄事件管理活動的規程；
4) 處理司法證據的規程；
5) 評估和決斷信息安全事態以及評估信息安全弱點的規程；
6) 包括升級、事件的受控恢復、與內外部人員或組織溝通在內的響應的規程；
b) 所建立的規程宜確保：
1) 勝任的人員處理組織內的信息安全事件相關問題；
2) 建立安全事件發現和報告的聯絡點；
3) 維護與處理信息安全事件相關問題的部門、外部相關團體或論壇之間適當的聯系；
c) 報告規程宜包含：
1) 準備信息安全事態報告表格，以便在信息安全事態發生時支持報告行動和幫助人員在報告時記住所有必要的行動；
2) 在信息安全事態發生時所采取的規程，例如立刻注意到所有細節（諸如不合規或違規的類型、發生的故障、屏幕上的消息），并立刻向聯絡點報告和僅采取協調行動；
3) 參考已建立的正式紀律處罰過程來處理安全違規的員工；
4) 適宜的反饋過程，以確保信息安全事態報告人員在問題被處理并關閉后得到結果的通知。
信息安全事件管理的目標宜與管理層商定，并宜確保信息安全事件管理責任人理解組織在處理信息安全事件上的優先級。
其他信息
信息安全事件可能超越組織和國家的邊界。為了響應這類事件，與外部組織適時地協同響應和共享有關事件的信息的需要日益增加

16.1.2報告信息安全事態

控制
宜通過適當的管理渠道盡快地報告信息安全事態。
實現指南
所有員工和合同方人員都宜知道他們有責任盡可能快地報告信息安全事態。他們還宜知道報告信息安全事態的規程和聯絡點。
可進行信息安全事態報告的情況如下：
a) 無效的安全控制；
b) 違背信息完整性、保密性或可用性的預期；
c) 人為差錯；
d) 不符合策略或指南；
e) 物理安全安排的違規；
f) 不受控的系統變更；
g) 軟件或硬件的故障；
h) 非法訪問。
其他信息

16.1.3報告信息安全弱點

控制
宜要求使用組織信息系統和服務的員工和合同方注意并報告任何觀察到的或可疑的系統或服務中的信息安全弱點。
實現指南
為了防止信息安全事件，所有員工和合同方宜盡可能快地將這些問題向聯絡點報告。報告機制宜盡可能地簡單、方便和可用。
其他信息

16.1.4信息安全事態的評估和決策

控制
宜評估信息安全事態并決定其是否屬于信息安全事件。
實現指南
聯絡點宜使用商定的信息安全事態和事件分級尺度評估每個信息安全事態，并決定該事態是否該歸于信息安全事件。事件的分級和優先級有助于標識事件的影響和程度。
當組織中有信息安全事件響應團隊（ISIRT）時，評估和決策可交至ISIRT進行確認和再評估。

16.1.5信息安全事件的響應

控制
宜按照文件化的規程響應信息安全事件。
實現指南
宜通過任命的聯絡點、組織內或外部方的相關人員對信息安全事件予以響應（見16.1.1）。
響應宜包括：
a) 事件發生后盡快收集證據；
b) 按要求進行信息安全取證分析（見16.1.7）；
c) 按要求升級；
d) 確保所有涉及的響應活動被適當記錄，便于日后分析；
e) 本著按需知曉原則，與其他內部和外部人員或組織交流存在的信息安全事件及任何相關細節；
f) 處理發現的導致或促使事件發生的信息安全弱點；
g) 一旦事件被成功處理，正式將其關閉并記錄。
必要時，宜進行事后事件分析以識別事件來源。
其他信息

16.1.6從信息安全事件中學習

控制
宜利用在分析和解決信息安全事件中得到的知識來減少未來事件發生的可能性和影響。
實現指南
宜有能夠量化和監視信息安全事件的類型、規模和代價的機制。宜利用從信息安全事件評價中獲得的信息來識別易復發的或高影響的事件。
其他信息
信息安全事件的評價可能表明，需要強化或附加的控制來降低未來事件發生的頻率、損害和代價，或在安全策略評審過程中加以考慮（見5.1.2）。

16.1.7證據的收集

控制
組織宜確定和應用規程來識別、收集、獲取和保存可用作證據的信息。
實現指南
宜制定內部規程，并在處理用于紀律和法律目的的證據時遵守。
一般來說，這些規程宜根據不同類型的介質、設備及設備狀態（如開機或關機）提供證據識別、收集、獲取和保存的過程。這些規程宜考慮：
a) 監管鏈；
b) 證據的安全；
c) 人員的安全；
d) 所涉及人員的角色和責任；
e) 人員的能力；
f) 文件化；
g) 簡報。
可用時，宜尋求對人員和工具資格的認證或其他相關手段，以增強所保存證據的價值。
法律證據可能超越組織或司法管轄的邊界。在這種情況下，宜確保組織有資格去收集作為法律證據所要求的信息。還宜考慮不同司法管轄區的要求，以使跨越相關司法管轄區的準入機會最大化。
其他信息
識別是包括搜索、辨認和記錄潛在證據的過程。收集是聚集可能包含潛在證據的物證的過程。獲取是在已定義的集合中創建數據拷貝的過程。保存是維護和保護潛在證據的完整性和原始狀態的過程。
當一個信息安全事態被首次發現時，這個事態是否會導致法庭訴訟可能不是顯而易見的。因此，在認識到事件的嚴重性之前，必要的證據被故意或意外毀壞的危險是存在的。如果預計要采取任何法律行動，最好及早請律師或警察介入，并接受關于所需證據的建議。