没有合适的资源?快使用搜索试试~ 我知道了~
信息安全事件管理指南.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 157 浏览量
2022-06-25
09:36:47
上传
评论
收藏 933KB PDF 举报
温馨提示
试读
50页
信息安全事件管理指南.pdf信息安全事件管理指南.pdf信息安全事件管理指南.pdf信息安全事件管理指南.pdf信息安全事件管理指南.pdf信息安全事件管理指南.pdf信息安全事件管理指南.pdf信息安全事件管理指南.pdf
资源推荐
资源详情
资源评论
信息安全事件管理指南
1
范围
本指导性技术文件描述了信息安全事件的管理过程。 提供了规划和制定信息安全事件管理策 略和方案的指
南。给出了管理信息安全事件和开展后续工作的相关过程和规程。
本指导性技术文件可用于指导信息安全管理者,信息系统、服务和网络管理者对信息安 全事件的管理。
2
规范性引用文件
下列文件中的条款通过本指导性技术文体的引用两成为本指导性技术文件的条款。凡是 注日期的引用文
件, 其随后所有的修改单 (不包括勘误的内骞) 或修订版均不适用于本指导 性技术文件, 然而,鼓励根据本
指导性技术文件达成协议的各方研究是否可使用这些文件的 最新版本。凡是不注日期的引用文件,其最新版本
适用子本指导性技术文件。
GB/T 19716
—
2005
信息技术信息安全管理实用规则
(ISO/IEC 17799
:
2000
.
MOD)
GB/Z 20986
—
2007
信息安全技术信息安全事件分类分级指南
ISO/IEC 13335-I
:
2004
信息技术安念技术信息和通信技术安全管理第
1
部分:信息 和通信技术安全
管理的概念和模型
3
术语和定义
GB/T 19716--2005
、
ISO/IEC 13335-I
:
2004
中确立的以及下列术语和定义适用 于本指导性技术文
件。
3.1
业务连续性规划
business continuity planning
这样的一个过程,即当有任何意外或有害事件发生,且对基本业务功能和支持要素的连 续性造成负面影响
时,确保运行的恢复得到保障。该过程还应确保恢复工作按指定优先级、 在规定的时间期限内完成,且随后将
所有业务功能及支持要素恢复到正常状态。
这一过程的关键要素必须确保具有必要的计划和设施,且经过测试,它们包含信息、业 务过程、信息系统
和服务、语音和数据通信、人员和物理设施等。
3.2
信息安全事态
information security event
被识别的一种系统、服务或网络状态的发生,表明一次可能的信息安全策略违规或某些 防护措施失效,或
者一种可能与安全相关但以前不为人知的一种情况。
3.3
信息安全事件
information security incident
由单个或一系列意外或有害的信息安全事态所组成,极有可能危害业务运行和威胁信息安 全。
3.4
信息安全事件响应组
(lSIRT)lnformation Security Incident Response Team
由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安全事件相关的 全部工作。 有
时, 小组可能会有外部专家加入, 例如来自一个公认的计算机事件响应组或计 算机应急响应
(CERT.)
的专
家。
4
缩略语
CERT
计算机应急响应组
(Computer Emergency Response Team)
ISIRT
信息安全事件响应组
(Information Security, Incident Response Team)
5
背景
5.1
目标
作为任何组织整体信息安全战略的一个关键部分, 采用一种结构严谨、 计划周全的方法 来进行信息安
全事件的管理至关重要。
这一方法的目标旨在确保:
信息安全事态可以被发现并得到有效处理,尤其是确定是否需要将事态归类为信息安 全事件;
对已确定的信息安全事件进行评估,并以最恰当和最有效的方式作出响应;
作为事件响应的一部分,通过恰当的防护措施 一一可能的话,结合业务连续性计划的
相关要素 ——将信息安全事件对组织及其业务运行的负面影响降至最小;
及时总结信息安全事件及其管理的经验教训。这将增加预防将来信息安全事件发生的 机会,改进信息安
全防护措施的实施和使用,同时全面改进信息安全事件管理方案。
5.2
过程
为了实现
5.1
所述的目标,信息安全事件管理由
4
个不同的过程组成:
规划和准备(
Plan and Prepare
)
使用(
Use
)
评审(
Revew
)
改进(
Improve
)
(
注:这些过程与
ISO/IEC 27001:2005
-
处置(
Act
) ”过程类似
.)
中的 “规划(
Plan
)
-
实施(
Do
)
-
检查(
Check
)
图
1
显示了上述过程的主要活动
.
1)
应该指出的是,尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结 果,但在多数情况
下, 信息安全事态本身并不意味着破坏安全的企图真正获得了成功, 因此 也并不一定会对保密性、 完整性
或可用性产生影响, 也就是说, 并非所有信息安全事态都会 被归类为信息安全事件。
5.2.1
规划和准备
有效的信息安全事件管理需要适当的规划和准备。 为使信息安全事件的响应有效, 下列 措施是必要
的:
a)
制定信息安全事件管理方案并使其成为文件, 获得所有关键利益相关人, 尤其是高级管 理层对策略的
可是化承诺;
b)
制定信息安全事件管理方案并使其全部成为文件,用以支持信息安全事件管理策略。用 于发现、报告、
评估和响应信息安全事件的表单、 规程和支持工具,以及事件严重性衡量尺 度的细节
2
)
,均应包括在方案文
件中(应指出,在有些组织中,方案即为信息安全事件响 应计划);
c)
更新所有层面的信息安全和风险管理策略,即,全组织范围的,以及针对每个系统、服务 和网络的信息
安全和风险管理策略,均应根据信息安全事件管理方案进行更新;
规划和准备
d)
确定一个适当的信息安全事件管理的组织结构,即信息安全事件响应组(
ISIRT
),给那
些可调用的、 能够对所有已知的信息安全事件类型作出充分响应的人员指派明确的角色和责 任。在大多数组
织中,
ISIRT
可以是一个虚拟小组,是由一名高级管理人员领导的、得到 各类特定主题专业人员支持的小
组, 例如, 在处理恶意代码攻击时, 根据相关事件类型召集 相关的专业人员。
e)
通过简报和
/
或其他几只使所有的组织成员了解信息安全事件管理方案、方案能够带来哪 些益处以及如何报
告信息安全事态。 应该对管理信息安全事件管理方案的负责人员、 判断信 息安全是太是否为事件的觉得吃,
以及参与事件调查的人员进行适当的培训;
2)
应该建立 “定级 ”事件严重性的衡量尺度。 例如,可基于对组织业务运行的交际或预期负面 影响的
程度,分为 “严重”和“轻微”两个级别。
f)
全面测试信息安全事件管理方案。
第
7
章中对规划和准备阶段作了进一步描述。
5.2.2
使用
下列过程是使用信息安全事件管理方案的必要过程:
a)
发现和报告所发生的信息安全事态(人为或自动方式);
b)
收集与信息安全事态相关的信息,通过评估这些信息确定哪些事态应归类为信息安 全事件;
c)
对信息安全事件作出响应:
1)
立刻、实时或接近实时;
2)
如果信息安全事件在控制之下,按要求在相对缓和的时闻内采取行动(例如,全面开 展灾难恢复工
作);
3)
如果信息安全事件不在控制之下,发起
动业务连续性计划);
“危机求助 ”行动(如召唤消防队/部门或者启
4)
将信息安全事件及任何相关的细节传达给内部和外部人员和/或组织(其中可能包 括按要求上报以便
进一步评估和/或决定);
5)
进行法律取证分析;
6)
正确记录所有行动和决定以备进一步分析之用;
7)
结束对已经解决事件的处理。
第
8
章中对使用阶段作了进一步描述。
5.2.3
评审
在信息安全事件已经解决或结束厥,进行以下评审活动是必要的:
a)
按要求进行进一步法律取证分析;
b)
总结信息安全事件中的经验教训;
c)
作为从一次或多次信息安全事件中吸取经验教训的结果,确定倍息安全防护措施实 施方面的改进;
d)
作为从信息安全事件管理方案质量保证评审 (例如根据对过程、 规程、 报告单和/ 或组织结构所
作的评审) 中吸取经验教训的结果, 确定对整个信息安全事件管理方案的改进。
第
9
章中对评审阶段作了进一步描述。
5.2.4
改进
应该强调的是,信息安全事件管理过程虽然可以反复实施,但随着时间的推移,有许多 信息安全要素需要
经常改进。 这些需要改进的地方应该根据对信息安全事件数据、 事件响应 以及一段时间以来的发展趋势所作
评审的基础上提出。其中包括:
a)
修订组织现有的信息安念风险分析和管理评审结果;
b)
改进信息安全事件管理方案及其相关文档;
c)
启动安全的改进,可能包括新的和/或经过更新的信息安全防护措施的实施。
第
10
章对改进阶段作了进一步描述。
6
信息安全事件管理方案的益处及需要应对的关键问题
本章提供了以下信息;
一个有效的信息安全褰件管理方案可带来的益处;
使组织高级管理层以及那些提交和接收方案反馈意见的人员信服所必须应对的关键问
题。
6.1
信息安全事件管理方案的益处
任何以结构严谨的方法进行信息安全事件管理的组织均能收效匪浅。 一个结构严谨、 计
划周全的信息安全事件管理方案带来的益处,可分为以下几类:
a)
提高安全保障水平;
b)
降低对业务的负面影向,例如由信息安全事件所导致的破坏和经济损失;
c)
强化着重预肪信息安全事件;
d)
强化调查的优先顺序和证据;
e)
有利于预算和资源合理利用;
f)
改进风险分析和管理评审结果的更新;
g)
增强信息安全意识和提供培训计划材料;
h)
为信息安全策略及相关文件的评审提供信息。
下面逐一介绍这些主题。
6.1.1
提高安全保障水平
一个结构化的发现、报告、评估和管理信息安全事态和事件的过程,能使组织迅速确定
任何信息安全事态或事件并对其做出响应, 从而通过帮助快速确定并实施前后一致的解决方 案和提供预防将
来类似的信息安全事件再次发生的方式,来提高整体的安全保障水平。
6.1.2
降低对业务的负面影响
结构化的信息安全事件管理方法有助于降低对业务潜在的负面影响的级别。这些影响包 括当前的经济损
失,及长期的声誉和信誉损失。
6.1.3
强调以事件预防为主
采用结构化的信息安全事件管理有助于在组织内创造一个以事件预防为重点的氛围。对 与事件相关的数据
进行分析, 能够确定事件的模式和趋势, 从而便于更准确地对事件重点预 防,并确定预防事件发生的适当措
施。
6.1.4
强化调查的优先顺序和证据
一个结构化的信息安全事件管理方法为信息安全事件调查时优先级的确定提供了可靠 的基础。
如果没有清晰的调查规程,调查工作便会有根据临时反应进行的风险,在事件发生时才
剩余49页未读,继续阅读
资源评论
不吃鸳鸯锅
- 粉丝: 8337
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功