文档介绍：信息安全事件管理指南 1范围 本指导性技术文件描述了信息安全事件的管理过程。提供了规划和制定信息安全事件管理策略和方案的指南。给出了管理信息安全事件和开展后续工作的相关过程和规程。   本指导性技术文件可用于指导信息安全管理者,信息系统、服务和网络管理者对信息安全事件的管理。2规范性引用文件   下列文件中的条款通过本指导性技术文体的引用两成为本指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内骞)或修订版均不适用于本指导性技术文件,然而,鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用子本指导性技术文件。   GB/T 19716—2005信息技术信息安全管理实用规则(ISO/IEC17799:)   GB/Z20986—2007信息安全技术信息安全事件分类分级指南   ISO/IEC13335-I:2004信息技术安念技术信息和通信技术安全管理第1部分:信息和通信技术安全管理的概念和模型3 术语和定义   GB/T 19716--2005、ISO/IEC13335-I:2004中确立的以及下列术语和定义适用于本指导性技术文件。   业务连续性规划 businesscontinuityplanning   这样的一个过程,即当有任何意外或有害事件发生,且对基本业务功能和支持要素的连续性造成负面影响时,确保运行的恢复得到保障。该过程还应确保恢复工作按指定优先级、在规定的时间期限内完成,且随后将所有业务功能及支持要素恢复到正常状态。   这一过程的关键要素必须确保具有必要的计划和设施,且经过测试,它们包含信息、业务过程、信息系统和服务、语音和数据通信、人员和物理设施等。   信息安全事态 informationsecurityevent   被识别的一种系统、服务或网络状态的发生,表明一次可能的信息安全策略违规或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况。 informationsecurityincident   由单个或一系列意外或有害的信息安全事态所组成,极有可能危害业务运行和威胁信息安全。   信息安全事件响应组(lSIRT)lnformationSecurityIncidentResponseTeam   由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安全事件相关的全部工作。有时,小组可能会有外部专家加入,例如来自一个公认的计算机事件响应组或计算机应急响应(CERT.)的专家。puterEmergencyResponseTeam)ISIRT信息安全事件响应组(InformationSecurity,IncidentResponseTeam),采用一种结构严谨、计划周全的方法来进行信息安全事件的管理至关重要。这一方法的目标旨在确保:·信息安全事态可以被发现并得到有效处理,尤其是确定是否需要将事态归类为信息安全事件;·对已确定的信息安全事件进行评估,并以最恰当和最有效的方式作出响应;·作为事件响应的一部分,通过恰当的防护措施——可能的话,结合业务连续性计划的相关要素——将信息安全事件对组织及其业务运行的负面影响降至最小;·及时总结信息安全事件及其管理的经验教训。这将增加预防将来信息安全事件发生的机会,改进信息安全防护措施的实施和使用,同时全面改进信息安全事件管理方案。,信息安全事件管理由4个不同的过程组成:·规划和准备(PlanandPrepare)·使用(Use)·评审(Revew)·改进(Improve)(注:这些过程与ISO/IEC27001:2005中的“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”过程类似.))应该指出的是,尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果,但在多数情况下,信息安全事态本身并不意味着破坏安全的企图真正获得了成功,因此也并不一定会对保密性、完整性或可用性产生影响,也就是说,并非所有信息安全事态都会被归类为信息安全事件。 规划和准备有效的信息安全事件管理需要适当的规划和准备。为使信息安全事件的响应有效,下列措施是必要的:a) 制定信息安全事件管理方案并使其成为文件,获得所有关键利益相关人,尤其是高级管理层对策略的可是化承诺;b)制定信息安全事件管理方案并使其全部成为文件,用以支持信息安全事件管理策略。用于发现、报告、评估和响应信息安全事件的表单、规程和支持工具,以及事件严重性衡量尺度的细节2),均应包括在方案文件中(应指出,在有些组织中,