中华人民共和国国家标准信息技术安全技术信息安全事件管理第部分事件响应规划和准备指南在提交反馈意见时请将您知道的相关专利与支持性文件一并附上报批稿发布实施目次前言引言范围规范性引用文件术语定义和缩略语术语和定义缩略语信息安全事件管理策略概述相关方信息安全事件管理策略内容信息安全策略更新概述策略文档的关联制定信息安全事件管理计划概述基于共识建立信息安全事件管理计划参与方信息安全事件管理计划内容事件分级标度事件表单过程和规程信任和信心保密或敏感信息处理建立事件响应小组概述事件响应小组类型和角色事件响应小组人员建立与其他组织的关系概述与组织其他部门的关系与外部利益相关方的关系明确技术和其他支持概述技术支持示例其他支持示例建立信息安全事件意识和培训测试信息安全事件管理计划概述演练事件响应能力监测经验总结概述识别经验教训识别并实施信息安全控制措施的改进识别并实施信息安全风险评估和管理评审结果的改进识别并实施信息安全事件管理计划的改进事件响应小组评价其他改进附录资料性附录法律法规方面附录资料性附录信息安全事态事件和脆弱性报告及表单示例概述记录事项示例表单使用方法表单示例附录资料性附录信息安全事态和事件分类分级方法示例概述信息安全事件分类信息安全事件分级参考文献前言信息技术安全技术信息安全事件管理分为多个部分第部分事件管理原理第部分事件响应规划和准备指南后续部分本部分为的第部分本部分按照标准化工作导则第部分标准的结构和编写和标准化工作指南第部分采用国际标准的规则给出的规则起草本部分使用重新起草法修改采用国际标准信息技术安全技术信息安全事件管理第部分事件响应规划和准备指南本标准与的技术性差异及其原因如下为了适应我国国情在规范性引用文件中增加了我国国家标准信息安全技术信息安全事件分类分级指南同时正文中的相关引用处也做了相应调整在范围中弥补国际标准的缺失增加了经验总结阶段的用途和要点本部分由全国信息安全标准化技术委员会提出并归口本部分起草单位中电长城网际系统应用有限公司中电数据服务有限公司中国信息安全研究院有限公司中国电子技术标准化研究院国家计算机网络应急技术处理协调中心三六零科技有限公司公安部第三研究所国家信息中心陕西省网络与信息安全测评中心北京江南天安科技有限公司本部分主要起草人闵京华周亚超王惠莅上官晓丽舒敏陈悦张屹王艳辉陈长松杜佳颖刘蓓李怡魏玉峰陈冠直引言属于信息安全管理体系系列标准的延伸聚焦于信息安全事件管理将其确定为信息安全管理体系的关键成功因素之一组织的事件计划与该组织确信已做好事件准备之间可能存在很大差距因此的本部分提供指南以增强组织对信息安全事件响应做好实际准备的信心为此本部分关注于事件管理相关的策略和计划以及如何建立事件响应小组并通过经验总结和评价不断改进其成效信息技术安全技术信息安全事件管理划和准备指南第部分事件响应规范围本部分基于中给出的信息安全事件管理阶段模型的规划和准备阶段和经验总结阶段为规划和准备事件响应以及事后总结经验和进行改进提供指南规划和准备阶段的要点包括信息安全事件管理策略和最高管理者的承诺在公司层面以及系统服务和网络层面都要更新的信息安全策略包括那些与风险管理相关的信息安全事件管理计划事件响应小组的建立建立与内部和外部组织的关系和联络技术及其他方面包括组织和运行方面的支持信息安全事件管理的意识教育和培训信息安全事件管理计划的测试经验总结阶段的要点包括经验教训的总结信息安全的总结和改进信息安全风险评估和管理评审结果的总结和改进信息安全事件管理计划的总结和改进表现和有效性的评价本部分给出的原理是通用的适用于任何类型规模或性质的组织组织可根据其业务的类型规模和性质关联信息安全风险状况调整本部分给出的指南本部分也适用于提供信息安全事件管理服务的外部组织规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息安全管理体系概述和词汇信息技术安全技术信息安全事件管理第部分事件管理原理信息安全技术信息安全事件分类分级指南术语定义和缩略语术语和定义界定的以及下列术语和定义适用于本文件用户使用事件响应小组所提供服务的人或组织注用户可以是组织内部的或组织外部的缩略语光盘计算机应急响应小组有时也被称为事件响应小组或计算机安全响应小组域名系统数字多功能光盘互联网控制消息协议入侵检测系统互联网协议第版互联网协议第版事件响应小组互联网服务提供商联系点简单邮件传输协议安全套接层协议传输控制协议交通灯协议传输层安全协议用户数据报协议无线保真信息安全事件管理策略概述注第章对应于组织的信息安全事件管理策略宜提供正式文件化的原则和意图用于指导信息安全事件管理决策并确保其过程和规程等的实施与策略是一致的且相适的任何信息安全事件管理策略宜是组织信息安全策略的一部分也支持上级组织现有使命并符合现有的策略和规程组织宜实施信息安全事件管理策略来概述过程责任人权威机构以及当信息安全事件发生时的报告路径特别是报告可疑事件的联系点宜定期审查策略以确保它反映可能影响事件响应的最新组织结构过程和技术另外策略宜概述组织内任何与事件响应相关的意识和培训计划见第章组织宜以独立文件的形式文件化其信息安全事态事件和漏洞的管理策略并作为其总体信息安全管理体系策略的一部分见或作为其信息安全策略的一部分见组织的规模结构和业务性质及其信息安全事件管理计划程度是决定上述选项的因素组织宜为每个具有合法访问信息系统和相关地点的人提供信息安全事件管理策略指导信息安全事件管理策略制定前组织宜确定信息安全事件管理的以下方面目标内部和外部的利益相关方需要重点关注的特定事件类型和脆弱性需要重点关注的任何特定角色组织的整体利益和部门利益相关方宜作为一个企业级过程创建和实施一个成功的信息安全事件管理策略为此所有利益相关方或其代表宜参与策略制定从最初规划阶段直到任何过程或响应小组的落实这可能包括法律顾问公共关系和营销人员部门经理保安人员系统和网络管理员信息通信技术人员服务台人员上层管理人员甚至在某些情况下的设施相关人员组织宜确保其信息安全事件管理策略得到最高管理层的批准并获得最高管理层所有人员的承诺确保持续的管理层承诺对于接受一个结构化的信息安全事件管理方法来说至关重要人员需要识别事件知道该做什么并理解这一方法对组织的好处管理层需要为信息安全事件策略提供支持以确保组织对提供资源和维护事件响应能力的承诺信息安全事件管理策略宜提供给每位员工和承包商并关注信息安全意识教育和培训信息安全事件管理策略内容信息安全事件管理策略宜是高层的详细信息和分步指示宜包含在组成信息安全事件管理计划的一系列文件中见第章所述组织宜确保其信息安全事件管理策略内容包括但不限于以下方面策略的目的目标和范围包括适用对象和适用情况策略所有者和审查周期信息安全事件管理对组织的重要性和最高管理层对信息安全事件管理的承诺以及相关计划文档安全事件的定义安全事件类型或类别的描述或引用有更加深入描述的其他文档事件如何报告的描述包括报告什么报告采用的机制以及在哪里和向谁报告事件管理过程流的高层概述或可视化展示显示安全事件处理的基本步骤从发现到报告信息采集分析响应通告升级和解决信息安全事件解决后的活动要求包括经验总结和过程改进适当时脆弱性报告和处理的总结虽然这可能是一个独立策略文件为信息安全事件管理过程的每个阶段及相关活动明确的角色责任和决策机构适当时包括脆弱性报告和处理对描述事态和事件分类严重程度评级如使用和相关术语文件的引用宜有一个描述事件组成的概述或引用对此有描述文件概述包括组织结构关键角色责任权威机构以及职责概要包括但不限于有关已确认事件的报告和通告要求关于事件向最高管理层做简要汇报处理询问推动跟进和解决事件联络外部组织必要时为确保执行的所有信息安全事件管理活动得到正确记录供以后分析提出的要求和理由对跨组织协同工作来发现分析和响应信息安全事件的组件的要求适用时对任何监督或治理结构及其权力和职责的描述与提供特定外部支持的组织的联系诸如取证团队法律顾问其他运营者等与信息安全事件管理活动相关的法律法规合规要求或授权的概要更多细节参见附录支持信息安全事件管理过程和相关活动的其他策略规程和文件的列表和引用策略中列出的许多事项可能有自己更详细的规程或指导文件此外还有其他相关的策略或规程可支持信息安全事件管理策略如果适用于组织但还没有也可作为准备阶段的一部分来建立这包括但不限于第章所述的信息安全事件管理计划持续监控策略声明组织采取这种活动并描述基本监控任务持续监控确保在需要法律起诉或内部纪律处分时电子证据的保全对的授权以便有来自其他操作部分的需要时能够访问监控输出或请求访问日志本条款也可放入信息安全事件管理策略信息共享信息披露和沟通策略概述事件管理活动相关信息如何何时和与谁共享信息宜保密只能根据相关法律进行披露在许多情况下法规要求任何个人可识别信息被泄露时都需要告知受影响的各方除了法律要求信息也宜遵循组织对信息披露的任何要求在事件处理过程中当引入或变更第三方时信息需要被共享信息共享的范围环境和目的需要在适当的策略和规程中得到描述或引用使用交通灯协议是信息披露指导和标记的例子信息存储和处理策略要求记录数据以及其他调查相关数据被安全地存储并根据其敏感性进行相应地处理如果组织有文件标签或分类模式这一策略对信息安全事件管理活动和人员来说也很重要章程详细说明要做什么和其操作权限至少章程宜包括使命陈述范围的定义的最高管理层发起者细节的权限的联系信息的服务和核心活动列表的权限和操作的范围的目的和目标以及有关任何治理结构的讨论团队的目标和目的非常重要需要清晰明确的定义的范围通常涵盖了所有组织的信息系统服务和网络在某些情况下组织可以要求范围不同扩大或缩小在这种情况下它宜清楚地记录范围内和范围外分别是什么治理可能包括识别具有对有决策权力和建立权限等级的执行官董事会成员或总经理知道这一点有助于组织内所有人员了解的背景和建立这些信息对在中建立信任是至关重要的宜注意的是详细信息公布之前宜从法律的角度予以审查在某些情况下团队权限的披露会使其直接面对责任要求信息安全事件管理意识和培训计划概述宜包括任何对全体人员意识培训和对成员事件管理培训的培训任务政策或要求信息安全策略更新概述注第章对应于组织宜在整体层面以及具体的系统服务和网络层面将信息安全事件管理内容包含在其信息安全策略中并将这些内容关联到事件管理策略这种整合宜针对如下目标描述为什么信息安全事件管理很重要尤其是信息安全事件报告和处理计划表明最高管理层对需要做好适当的信息安全事件准备和响应即信息安全事件管理计划的承诺确保各种策略的一致性确保有计划地系统地和沉着地响应信息安全事件从而最小化事件的负面影响关于信息安全风险评估和管理的指导见策略文档的关联组织宜更新和维护企业级信息安全和风险管理策略配上具体的系统服务或网络的信息安全策略以
GB-T 20985.2-2020 信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南
文档预览
中文文档
53 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共53页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-24 14:25:28上传分享