中华人民共和国国家标准化指导性技术文件信息技术安全技术信息安全事件管理指南发布中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会目次前言引言范围规范性引用文件术语和定义缩略语背景目标过程信息安全事件管理方案的益处及需要应对的关键问题信息安全事件管理方案的益处关键问题规划和准备概述信息安全事件管理策略信息安全事件管理方案信息安全和风险管理策略的建立技术和其他支持意识和培训使用概述关键过程的概述发现和报告事态事件评估和决策响应评审概述进一步的法律取证分析经验教训确定安全改进确定方案改进改进概述安全风险分析和管理改进改善安全状况改进方案其他改进附录资料性附录信息安全事态和事件报告单示例附录资料性附录信息安全事件评估要点指南示例附录资料性附录本指导性技术文件与技术性差异及其原因参考文献前言略引言目前没有任何一种具有代表性的信息安全策略或防护措施能够对信息信息系统服务或网络提供绝对的保护即使采取了防护措施仍可能存在残留的弱点使得信息安全防护变得无效从而导致信息安全事件发生并对组织的业务运行直接或间接产生负面影响此外以前未被认识到的威胁也可能会发生组织如果对这些事件没有作好充分的应对准备其任何实际响应措施的效率都会大打折扣甚至还可能加大潜在的业务负面影响的程度因此对于任何一个重视信息安全的组织来说采用一种结构严谨计划周全的方法来处理以下工作十分必要发现报告和评估信息安全事件对信息安全事件做出响应包括启动适当的事件防护措施来预防和降低事件影响以及从事件影响中恢复例如在支持和业务连续性规划方面从信息安全事件中吸取经验教训制定预防措施并且随着时间的变化不断改进整个的信息安全事件管理方法信息技术安全技术信息安全事件管理指南范围本指导性技术文件描述了信息安全事件的管理过程提供了规划和制定信息安全事件管理策略和方案的指南给出了管理信息安全事件和开展后续工作的相关过程和规程本指导性技术文件可用于指导信息安全管理者信息系统服务和网络管理者对信息安全事件的管理规范性引用文件下列文件中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款凡是注日期的引用文件其随后所有的修改单不包括勘误的内容或修订版均不适用于本指导性技术文件然而鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本指导性技术文件信息技术信息安全管理实用规则信息安全技术信息安全事件分类分级指南信息技术安全技术信息和通信技术安全管理第部分信息和通信技术安全管理的概念和模型术语和定义中确立的以及下列术语和定义适用于本指导性技术文件业务连续性规划业务连续性规划是指这样的一个过程即当有任何意外或有害事件发生且对基本业务功能和支持要素的连续性造成负面影响时确保运行的恢复得到保障该过程还应确保恢复工作按指定优先级在规定的时间期限内完成且随后将所有业务功能及支持要素恢复到正常状态这一过程的关键要素必须确保具有必要的计划和设施且经过测试它们包含信息业务过程信息系统和服务语音和数据通信人员和物理设施等信息安全事态信息安全事态是指被识别的一种系统服务或网络状态的发生表明一次可能的信息安全策略违规或某些防护措施失效或者一种可能与安全相关但以前不为人知的一种情况信息安全事件信息安全事件是由单个或一系列意外或有害的信息安全事态所组成的极有可能危害业务运行和威胁信息安全信息安全事件响应组是由组织中具备适当技能且可信的成员组成的一个小组负责处理与信息安全事件相关的全部工作有时小组可能会有外部专家加入例如来自一个公认的计算机事件响应组或计算机应急响应组的专家缩略语计算机应急响应组信息安全事件响应组背景目标作为任何组织整体信息安全战略的一个关键部分采用一种结构严谨计划周全的方法来进行信息安全事件的管理至关重要这一方法的目标旨在确保信息安全事态可以被发现并得到有效处理尤其是确定是否需要将事态归类为信息安全事件对已确定的信息安全事件进行评估并以最恰当和最有效的方式做出响应作为事件响应的一部分通过恰当的防护措施可能的话结合业务连续性计划的相关要素将信息安全事件对组织及其业务运行的负面影响降至最小及时总结信息安全事件及其管理的经验教训这将增加预防将来信息安全事件发生的机会改进信息安全防护措施的实施和使用同时全面改进信息安全事件管理方案过程为了实现所述的目标信息安全事件管理由个不同的过程组成规划和准备使用评审改进注这些过程与中的规划实施检查处置过程类似下面图显示了上述过程的主要活动应该指出的是尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果但在多数情况下信息安全事态本身并不意味着破坏安全的企图真正获得了成功因此也并不一定会对保密性完整性和或可用性产生影响也就是说并非所有信息安全事态都会被归类为信息安全事件规划和准备制定信息安全事件管理策略获得高级管理层的承诺制定信息安全事件管理方案对公司及系统服务网络安全进行风险分析和管理更新策略建立发布信息安全事件管理意识简报并开展培训测试信息安全事件管理方案使用检测并报告信息安全事态评估并决定是否将事态归类为信息安全事件对信息安全事件做出响应其中包括进行法律取证分析进一步进行法律取证分析总结经验教训确定安全的改进之处确定信息安全事件管理方案的改进之处评审改进改进安全风险分析和管理评审的结果启动对安全的改进改进信息安全事件管理方案图信息安全事件管理过程规划和准备有效的信息安全事件管理需要适当的规划和准备为使信息安全事件的响应有效下列措施是必要的制定信息安全事件管理策略并使其成为文件获得所有关键利益相关人尤其是高级管理层对策略的可视化承诺制定信息安全事件管理方案并使其全部成为文件用以支持信息安全事件管理策略用于发现报告评估和响应信息安全事件的表单规程和支持工具以及事件严重性衡量尺度的细节均应包括在方案文件中应指出在有些组织中方案即为信息安全事件响应计划更新所有层面的信息安全和风险管理策略即全组织范围的以及针对每个系统服务和网络的信息安全和风险管理策略均应根据信息安全事件管理方案进行更新确定一个适当的信息安全事件管理的组织结构即信息安全事件响应组给那些可调用的能够对所有已知的信息安全事件类型作出充分响应的人员指派明确的角色和责任在大多数组织中可以是一个虚拟小组是由一名高级管理人员领导的得到各类特定主题应该建立定级事件严重性的衡量尺度例如可基于对组织业务运行的实际或预期负面影响的程度分为严重和轻微两个级别专业人员支持的小组例如在处理恶意代码攻击时根据相关事件类型召集相关的专业人员通过简报和或其他机制使所有的组织成员了解信息安全事件管理方案方案能带来哪些益处以及如何报告信息安全事态应该对管理信息安全事件管理方案的负责人员判断信息安全事态是否为事件的决策者以及参与事件调查的人员进行适当培训全面测试信息安全事件管理方案第章中对规划和准备阶段作了进一步描述使用下列过程是使用信息安全事件管理方案的必要过程发现和报告所发生的信息安全事态人为或自动方式收集与信息安全事态相关的信息通过评估这些信息确定哪些事态应归类为信息安全事件对信息安全事件作出响应立刻实时或接近实时如果信息安全事件在控制之下按要求在相对缓和的时间内采取行动例如全面开展灾难恢复工作如果信息安全事件不在控制之下发起危机求助行动如召唤消防队部门或者启动业务连续性计划将信息安全事件及任何相关的细节传达给内部和外部人员和或组织其中可能包括按要求上报以便进一步评估和或决定进行法律取证分析正确记录所有行动和决定以备进一步分析之用结束对已经解决事件的处理第章中对使用阶段作了进一步描述评审在信息安全事件已经解决或结束后进行以下评审活动是必要的按要求进行进一步法律取证分析总结信息安全事件中的经验教训作为从一次或多次信息安全事件中吸取经验教训的结果确定信息安全防护措施实施方面的改进作为从信息安全事件管理方案质量保证评审例如根据对过程规程报告单和或组织结构所作的评审中吸取经验教训的结果确定对整个信息安全事件管理方案的改进第章中对评审阶段作了进一步描述改进应该强调的是信息安全事件管理过程虽然可以反复实施但随着时间的推移有许多信息安全要素需要经常改进这些需要改进的地方应该根据对信息安全事件数据事件响应以及一段时间以来的发展趋势所作评审的基础上提出其中包括修订组织现有的信息安全风险分析和管理评审结果改进信息安全事件管理方案及其相关文档启动安全的改进可能包括新的和或经过更新的信息安全防护措施的实施第章对改进阶段作了进一步描述信息安全事件管理方案的益处及需要应对的关键问题本章提供了以下信息一个有效的信息安全事件管理方案可带来的益处使组织高级管理层以及那些提交和接收方案反馈意见的人员信服所必须应对的关键问题信息安全事件管理方案的益处任何以结构严谨的方法进行信息安全事件管理的组织均能收效匪浅一个结构严谨计划周全的信息安全事件管理方案带来的益处可分为以下几类提高安全保障水平降低对业务的负面影响例如由信息安全事件所导致的破坏和经济损失强化着重预防信息安全事件强化调查的优先顺序和证据有利于预算和资源合理利用改进风险分析和管理评审结果的更新增强信息安全意识和提供培训计划材料为信息安全策略及相关文件的评审提供信息下面逐一介绍这些主题提高安全保障水平一个结构化的发现报告评估和管理信息安全事态和事件的过程能使组织迅速确定任何信息安全事态或事件并对其做出响应从而通过帮助快速确定并实施前后一致的解决方案和提供预防将来类似的信息安全事件再次发生的方式来提高整体的安全保障水平降低对业务的负面影响结构化的信息安全事件管理方法有助于降低对业务潜在的负面影响的级别这些影响包括当前的经济损失及长期的声誉和信誉损失强调以事件预防为主采用结构化的信息安全事件管理有助于在组织内创造一个以事件预防为重点的氛围对与事件相关的数据进行分析能够确定事件的模式和趋势从而便于更准确地对事件重点预防并确定预防事件发生的适当措施强化调查的优先顺序和证据一个结构化的信息安全事件管理方法为信息安全事件调查时优先级的确定提供了可靠的基础如果没有清晰的调查规程调查工作便会有根据临时反应进行的风险在事件发生时才响应只按照相关管理层的最大声音行事这样会阻碍调查工作进入真正需要的方面和遵循理想的优先顺序进行清晰的事件调查规程有助于确保数据的收集和处理是证据充分的法律所接受的如果随后要进行法律起诉或采取内部处罚措施的话这些便是重点的考虑事项然而应该认识到的是从信息安全事件中恢复所必须采取的措施可能危害这种收集到的证据的完整性预算和资源定义明确且结构化的信息安全事件管理有助于正确判断和简化所涉及组织部门内的预算和资源分配此外信息安全事件管理方案自身的益处还有可用技术不太熟练的员工来识别和过滤虚假警报可为技术熟练员工的工作提供更好的指导可将技术熟练员工仅用于那些需要其技能的过程以及过程的阶段中此外结构化的信息安全事件管理还包括时间戳从而有可能定量评估组织对安全事件的处理例