信息安全事件管理指南.docx

1、信息安全事件管理指南信息安全事件管理指南 1 X围 本指导性技术文件描述了信息安全事件的管理过程。提供了规划和制定信息安全事件管理策略和方案的指南。给出了管理信息安全事件和开展后续工作的相关过程和规程。 本指导性技术文件可用于指导信息安全管理者，信息系统、服务和网络管理者对信息安全事件的管理。2规X性引用文件 下列文件中的条款通过本指导性技术文体的引用两成为本指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内骞）或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用子本

2、指导性技术文件。 GB/T 197162005信息技术信息安全管理实用规则(ISO/IEC 17799：2000MOD) GB/Z 209862007信息安全技术信息安全事件分类分级指南 ISO/IEC 13335-I：2004信息技术安念技术信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型3 术语和定义 GB/T 19716-2005、ISO/IEC 13335-I：2004中确立的以及下列术语和定义适用于本指导性技术文件。3.1 业务连续性规划 business continuity planning 这样的一个过程，即当有任何意外或有害事件发生，且对基本业务功能和支持要

3、素的连续性造成负面影响时，确保运行的恢复得到保障。该过程还应确保恢复工作按指定优先级、在规定的时间期限内完成，且随后将所有业务功能及支持要素恢复到正常状态。 这一过程的关键要素必须确保具有必要的计划和设施，且经过测试，它们包含信息、业务过程、信息系统和服务、语音和数据通信、人员和物理设施等。3.2 信息安全事态 information security event 被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。3.3信息安全事件 information security incident 由单个或一系列

4、意外或有害的信息安全事态所组成，极有可能危害业务运行和威胁信息安全。3.4 信息安全事件响应组(lSIRT)lnformation Security Incident Response Team 由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息安全事件相关的全部工作。有时，小组可能会有外部专家加入，例如来自一个公认的计算机事件响应组或计算机应急响应(CERT.)的专家。4缩略语CERT计算机应急响应组(puter Emergency Response Team)ISIRT信息安全事件响应组(Information Security, Incident Response Team)

5、5背景5.1 目标作为任何组织整体信息安全战略的一个关键部分，采用一种结构严谨、计划周全的方法来进行信息安全事件的管理至关重要。这一方法的目标旨在确保：信息安全事态可以被发现并得到有效处理，尤其是确定是否需要将事态归类为信息安全事件；对已确定的信息安全事件进行评估，并以最恰当和最有效的方式作出响应；作为事件响应的一部分，通过恰当的防护措施可能的话，结合业务连续性计划的相关要素将信息安全事件对组织及其业务运行的负面影响降至最小；及时总结信息安全事件及其管理的经验教训。这将增加预防将来信息安全事件发生的机会，改进信息安全防护措施的实施和使用，同时全面改进信息安全事件管理方案。5.2 过程为了实现5

6、.1所述的目标，信息安全事件管理由4个不同的过程组成：规划和准备（Plan and Prepare）使用（Use）评审（Revew）改进（Improve）(注：这些过程与ISO/IEC 27001:2005中的“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”过程类似.)图1显示了上述过程的主要活动.1)应该指出的是，尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果，但在多数情况下，信息安全事态本身并不意味着破坏安全的企图真正获得了成功，因此也并不一定会对XX性、完整性或可用性产生影响，也就是说，并非所有信息安全事态都会被归类为信息安全事件。5.2.1 规划

7、和准备有效的信息安全事件管理需要适当的规划和准备。为使信息安全事件的响应有效，下列措施是必要的：a) 制定信息安全事件管理方案并使其成为文件，获得所有关键利益相关人，尤其是高级管理层对策略的可是化承诺；b)制定信息安全事件管理方案并使其全部成为文件，用以支持信息安全事件管理策略。用于发现、报告、评估和响应信息安全事件的表单、规程和支持工具，以及事件严重性衡量尺度的细节2），均应包括在方案文件中（应指出，在有些组织中，方案即为信息安全事件响应计划）；c)更新所有层面的信息安全和风险管理策略，即，全组织X围的，以及针对每个系统、服务和网络的信息安全和风险管理策略，均应根据信息安全事件管理方案进行更

8、新； 规划和准备d)确定一个适当的信息安全事件管理的组织结构，即信息安全事件响应组（ISIRT），给那些可调用的、能够对所有已知的信息安全事件类型作出充分响应的人员指派明确的角色和责任。在大多数组织中，ISIRT可以是一个虚拟小组，是由一名高级管理人员领导的、得到各类特定主题专业人员支持的小组，例如，在处理恶意代码攻击时，根据相关事件类型召集相关的专业人员。e)通过简报和/或其他几只使所有的组织成员了解信息安全事件管理方案、方案能够带来哪些益处以及如何报告信息安全事态。应该对管理信息安全事件管理方案的负责人员、判断信息安全是太是否为事件的觉得吃，以及参与事件调查的人员进行适当的培训；2)应该建

9、立“定级”事件严重性的衡量尺度。例如，可基于对组织业务运行的交际或预期负面影响的程度，分为“严重”和“轻微”两个级别。 f) 全面测试信息安全事件管理方案。 第7章中对规划和准备阶段作了进一步描述。5.2.2使用 下列过程是使用信息安全事件管理方案的必要过程： a) 发现和报告所发生的信息安全事态（人为或自动方式）； b) 收集与信息安全事态相关的信息，通过评估这些信息确定哪些事态应归类为信息安全事件； c) 对信息安全事件作出响应： 1)立刻、实时或接近实时； 2)如果信息安全事件在控制之下，按要求在相对缓和的时闻内采取行动（例如，全面开展灾难恢复工作）； 3)如果信息安全事件不在控制之下，

10、发起“危机求助”行动（如召唤消防队部门或者启动业务连续性计划）； 4) 将信息安全事件及任何相关的细节传达给内部和外部人员和或组织（其中可能包括按要求上报以便进一步评估和或决定）； 5)进行法律取证分析； 6)正确记录所有行动和决定以备进一步分析之用； 7) 结束对已经解决事件的处理。 第8章中对使用阶段作了进一步描述。5.2.3评审 在信息安全事件已经解决或结束厥，进行以下评审活动是必要的： a) 按要求进行进一步法律取证分析； b) 总结信息安全事件中的经验教训； c） 作为从一次或多次信息安全事件中吸取经验教训的结果，确定倍息安全防护措施实施方面的改进；d) 作为从信息安全事件管理方案质

11、量保证评审（例如根据对过程、规程、报告单和或组织结构所作的评审）中吸取经验教训的结果，确定对整个信息安全事件管理方案的改进。 第9章中对评审阶段作了进一步描述。 5.2.4改进 应该强调的是，信息安全事件管理过程虽然可以反复实施，但随着时间的推移，有许多信息安全要素需要经常改进。这些需要改进的地方应该根据对信息安全事件数据、事件响应以及一段时间以来的发展趋势所作评审的基础上提出。其中包括： a) 修订组织现有的信息安念风险分析和管理评审结果； b) 改进信息安全事件管理方案及其相关文档； c) 启动安全的改进，可能包括新的和或经过更新的信息安全防护措施的实施。 第10章对改进阶段作了进一步描述

12、。6信息安全事件管理方案的益处及需要应对的关键问题 本章提供了以下信息；一个有效的信息安全褰件管理方案可带来的益处；使组织高级管理层以及那些提交和接收方案反馈意见的人员信服所必须应对的关键问题。6.1 信息安全事件管理方案的益处任何以结构严谨的方法进行信息安全事件管理的组织均能收效匪浅。一个结构严谨、计划周全的信息安全事件管理方案带来的益处，可分为以下几类： a)提高安全保障水平； b)降低对业务的负面影向，例如由信息安全事件所导致的破坏和经济损失； c)强化着重预肪信息安全事件； d)强化调查的优先顺序和证据； e)有利于预算和资源合理利用； f)改进风险分析和管理评审结果的更新； g)增强

13、信息安全意识和提供培训计划材料； h)为信息安全策略及相关文件的评审提供信息。 下面逐一介绍这些主题。6.1.1 提高安全保障水平 一个结构化的发现、报告、评估和管理信息安全事态和事件的过程，能使组织迅速确定任何信息安全事态或事件并对其做出响应，从而通过帮助快速确定并实施前后一致的解决方案和提供预防将来类似的信息安全事件再次发生的方式，来提高整体的安全保障水平。6.1.2 降低对业务的负面影响 结构化的信息安全事件管理方法有助于降低对业务潜在的负面影响的级别。这些影响包括当前的经济损失，及长期的声誉和信誉损失。6.1.3强调以事件预防为主 采用结构化的信息安全事件管理有助于在组织内创造一个以事

14、件预防为重点的氛围。对与事件相关的数据进行分析，能够确定事件的模式和趋势，从而便于更准确地对事件重点预防，并确定预防事件发生的适当措施。6.1.4强化调查的优先顺序和证据 一个结构化的信息安全事件管理方法为信息安全事件调查时优先级的确定提供了可靠的基础。 如果没有清晰的调查规程，调查工作便会有根据临时反应进行的风险，在事件发生时才响应，只按照相关管理层的“最大声音”行事。这样会阻碍调查工作进入真正需要的方面和遵循理想的优先顺序进行。 清晰的事件调查规程有助于确保数据的收集和处理是证据充分的、法律所接受的。如果随后要进行法律起诉或采取内部处罚措施的话，这些便是重点的考虑是想。然而应该认识到的是，

15、从信息安全事件中恢复所必须采取的措施，可能危害这种收集到的证据的完整性。6.1.5预算和资源 定义明确且结构化的信息安全事件管理有助于正确判断和简化所涉及组织部门内的预算和资源分配。此外，信息安全事件管理方案自身的益处还有： 可用技术不太熟练的员工来识别和过滤虚假警报；可为技术熟练员工的工作提供更好的指导； 可将技术熟练员工仅用于那些需要其技能的过程以及过程的阶段中。此外，结构化的信息安全事件管理还包括“时问戳”，从而有可能“定量”评估组织对安全事件的处理。例如，它可以提供信息说明解决处于不同优先级和不同平台上的事件需要多长时间。如果信息安全事件管理的过程存在瓶颈，也应该是可识别的。6.1.6信息安全风险分析和管理 结构化的信息安全事件管理方法有助于：