信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理

声明

本文是学习信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

范围

本部分提出了信息安全事件管理的基本概念和过程阶段，并将这些概念与结构化方法的原理相结合来发现、报告、评估和响应事件，以及进行经验总结。

本部分给出的事件管理原理是通用的，适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质，关联信息安全风险状况，调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

ISO/IEC
27000　信息技术　安全技术　信息安全管理体系　概述和词汇（Information
technology — Security techniques — Information security management
systems — Overview and vocabulary）

ISO/IEC
27035-2　信息技术　安全技术　第2部分：事件响应规划和准备指南（Information
technology — Security techniques — Information security incident
management — Part 2: Guidelines to plan and prepare for incident
response）

术语和定义

ISO/IEC 27000界定的以及下列术语和定义适用于本文件。

信息安全调查　information security investigation

为帮助理解信息安全事件（3.4）而进行的检查、分析和解释。

[ISO/IEC 27042，定义3.10，做了修改：将"事件"替换为"信息安全事件"]

事件响应小组　Incident Response Team IRT

由组织中具备适当技能且可信的成员组成的团队，负责在事件生存周期中处理事件。

注1：IRT
通常被称为CERT（计算机应急响应小组）和CSIRT（计算机安全事件响应小组）。

信息安全事态　information security event

表明一次可能的信息安全违规或某些控制失效的发生。

信息安全事件　information security incident

与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态（3.3）。

信息安全事件管理　information security incident management

采用一致和有效方法处理信息安全事件（3.4）的行为。

事件处理　incident handling

发现、报告、评估、响应和处理信息安全事件（3.4）并从中汲取经验教训的行动。

事件响应　incident response

为缓解或解决信息安全事件（3.4）而采取的行动，包括为保护信息系统及其存储的信息并将其恢复至正常运行状态而采取的行动。

联系点　Point of Contact PoC

被定义为事件管理活动的协调者或信息聚集点的组织功能或角色。

概述

基本概念和原理

信息安全事态是表明一次可能的信息安全违规或某些控制失效的发生。信息安全事件是达到了既定准则并与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。

信息安全事态的发生并不意味着攻击成功或存在保密性、完整性或可用性问题，也就是说，并非所有信息安全事态都属于信息安全事件。

信息安全事件可能是故意的（例如，由恶意软件或故意违纪造成的）或意外的（例如，由意外的人为错误或不可避免的自然行为造成的），可能是由技术手段（例如，计算机病毒）或非技术手段（例如，计算机丢失或被盗）造成的。其后果包括信息未经授权的泄露、修改、破坏或不可用，或者组织信息资产的损坏或被盗。

出于资料性目的，附录B选择了一些信息安全事件及其起因的示例进行描述。需要注意的是这些示例并不是全部。

在信息系统、服务或网络中威胁利用脆弱性（弱点），对脆弱性所暴露的信息资产引起信息安全事态的发生并因此可能导致事件。图1示出了信息安全事件中对象的关系。

1. 信息安全事件中对象的关系

与外部IRT的信息共享与协调是重要的考虑方面。许多事件跨越组织边界且不能由单个IRT轻易解决。与外部IRT的信息共享与协调关系或伙伴关系，可显著提升响应和解决事件的能力。有关信息共享的更多细节，参见ISO/IEC
27010。

事件管理目标

作为一个组织整体信息安全战略的关键部分，组织宜部署控制和规程来促使一种结构严谨、计划周全的方法进行信息安全事件管理。从组织的角度，其主要目标是避免或遏制信息安全事件的影响，以尽可能减少事件对其运行的直接或间接损害。由于损害信息资产会给运行带来负面影响，运行和业务的视角对于决定更加具体的信息安全管理目标会有重要影响。

一种结构严谨、计划周全的事件管理方法的更加具体目标宜包括：

a) 发现并有效处理信息安全事态，尤其是确定什么时候它们被归为信息安全事件；

b) 以最恰当和有效的方式，对已识别的信息安全事件进行评估和响应；

c) 作为事件响应的一部分，通过恰当的控制尽可能减少信息安全事件对组织及其运行的负面影响；

d) 建立在事件升级过程中与危机管理和业务持续性管理的相关要素的关联；

e) 评估并适当处理信息安全脆弱性，以防止或减少事件。根据职责分配，评估可由IRT或组织内其他团队完成；

f) 及时从信息安全事件、脆弱性及其管理中汲取经验教训。这种反馈机制旨在进一步防止信息安全事件未来发生的机会，改进信息安全控制的实施和使用，并整体改进信息安全事件管理方案。

为实现上述目标，组织宜确保信息安全事件以一种一致的方式被记录，并使用适当的标准对事件进行分类、分级和共享，以便经过一段时间后能够从聚合的数据中提取指标。这将为信息安全控制投资的策略决策过程提供有价值的信息。信息安全事件管理体系宜能够与相关外部伙伴和IRT共享信息。

本部分的另一个目标是，为致力于满足ISO/IEC
27001中规定的信息安全管理体系（ISMS）要求的组织提供指导，这些要求得到ISO/IEC
27002指南的支持。ISO/IEC
27001包括与信息安全事件管理相关的要求。附录C给出了ISO/IEC
27001中信息安全事件管理条款与本部分条款之间的对照表。图2也展示了与ISMS的关系。本部分还支持ISMS以外的信息安全事件管理体系提出的要求。

2. 信息安全事件管理与ISMS和所应用控制之间的关系

结构化方法的益处

使用结构化方法进行信息安全事件管理能产生显著效益，可归纳为如下方面：

a) 改进整体安全

发现、报告、评估和决策信息安全事态和事件的结构化过程能促使快速的识别和响应。这将有助于快速识别和实施一致的解决方案，并因此提供防止将来类似的信息安全事件再次发生的手