ISO21434是一套网络安全流程标准,本章是Part13运营和维护的总结。本部分包括网络安全事件响应和更新两个活动。
1. 网络安全事件响应
网络安全事件响应由漏洞管理流程触发,当漏洞发展成为网络安全事件后,通过应急响应进行处置。
活动目的:确定并实施网络安全事件的补救行动。
活动输入:
1)与网络安全事件相关的网络安全信息;
2)相关漏洞分析。
活动输出:网络安全事件响应计划。
活动要求:
针对每个网络安全事件,应制定网络安全事件响应计划,包括:
1)补救措施,由持续性网络安全活动的漏洞管理过程决定;
2)沟通计划,包括识别内部利益相关方、内外部沟通合作伙伴和沟通方式;
3)补救措施的职责分配,包括专业知识、组织方面(流程、沟通、采购、法规等)和决策权;
4)收集新网络安全信息的机制,可根据持续性网络安全活动的网络安全信息监控过程,记录与安全事件相关的信息,如受影响组件、相关事件或漏洞、鉴定数据(如日志、传感器数据)、用户投诉;
5)衡量进度的方法,如受影响组件被修复的百分比;
6)关闭事件响应的标准;
7)采取行动进行关闭。
2、更新
更新是指开发后对相关项或组件的修改,如漏洞修复,功能改进,可包括额外的信息,如技术规范、用户手册,不包括概念/开发/生产阶段的修改,这些阶段按变更管理执行即可。
活动目的:在生产后直到网络安全支持结束,保证相关项或组件在更新过程和更新后的网络安全。
活动输入:
1)后开发发布报告;
2)后开发网络安全要求,与更新相关的;
3)网络安全事件响应计划,如果涉及。
活动要求:更新和更新相关能力,按照本标准流程进行开发。
总结:网络安全事件响应即制定响应计划,确保事件得以沟通分享和补救措施的执行,需要注意,本章节所说的网络安全事件,英文是incident,不同于第8章持续性网络安全活动的网络安全事件(event)。网络安全事件(incident)术语解释为涉及漏洞被利用的现场状况,建议翻译为网络安全事故便于区分。而更新则可是针对生产后的修改,如通过OTA修复漏洞,有可能是网络安全事件响应的补救措施。