范文无忧网信息安全事故管理
信息安全事故管理
安全事故就是能导致资产丢失与损害的任何事件,为把安全事故的损害降到最低的程度,追踪并从事件中吸取教训,组织应明确有关事故、故障和薄弱点的部门,并根据安全事故与故障的反应过程建立一个报告、反应、评价和惩戒的机制。
对安全事故的反应过程如图所示:
1、控制目标-报告安全事故和脆弱性
目标:确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施
应该准备好正常的事件报告和分类程序,这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点,所有的员工、合同方和第三方用户都应该知晓这套报告程序。他们需要尽可能快地将信息安全事件和弱点报告给指定的联系方。
l控制措施-安全事故报告
组织应明确信息安全事故报告的方式、报告的内容、报告的受理部门,即安全事件应在被发现之后尽快由适当的受理途径进行通报。
应当尽可能快速地通过适当管理渠道报告安全事故。组织的普通员工通常是安全事件的最早发现者,如果安全事件能及时发现并报告相应的主管部门,做出及时的处理,能使组织的经济损失及声誉损失降到最低。
为及时发现安全事件,组织应建立正式的报告程序,分别对安全事故的报告做出明确规定。应当让所有员工和第三方的签约人都了解报告程序并鼓励他们在安全事件发生的第一时间就尽快报告。还应当建立起事故反应机制,以便在接到事故报告时,有关部门能及时采取的措施。
应当建立适当的反馈机制,确保在处理完事故之后,使员工能够知道所报告事故的处理结果。同时可以用这些事故来提高用户的安全意识,使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这些事故。
针对不同的类型的安全事件,做出相应的应急计划,规定事件处理步骤,基于以下因素区分操作的优先次序:
保护人员的生命与安全
保护敏感资料
保护重要的数据资源
防止系统被破坏
将信息系统遭受的损失降至最低
对非法**进行司法取证
系统恢复运行
l控制措施-安全弱点报告
应当要求信息服务的使用者记下并报告任何观察到的或可疑的有关系统或服务方面的安全弱点或受到的威胁。
应当要求信息服务的用户注意并报告任何观察到或者预测到的系统或者服务中存在的弱点、或者是受到的威胁。用户应当尽快向管理层或者服务供应商报告此类事件。应当告知用户,一旦发现安全弱点,就会及时报告,而不要试图去证实弱点存在,因为测试系统缺陷的行为可能会被安全管理人员或安全监控设施看作是对系统的攻击。
[attachment=115]
2、控制目标-信息安全事故管理和改进
目标:确保使用持续有效的方法管理信息安全事故
一旦信息安全事件和弱点报告上来,应该立即明确责任,按照规程进行有效处理。应该应用一个连续性的改进过程对信息安全事故进行响应、监视、评估和总体管理。如果需要证据的话,则应该搜集证据以满足法律的要求。
职责和程序
应建立管理职责和程序,以快速、有效和有序的响应信息安全事故
除了对信息安全事件和弱点进行报告外,还应该利用系统的监视、报警和发现脆弱性的功能来检测信息安全事故。
在建立信息安全事故管理目标时,要与管理层达成一致意见,应该确保负责信息安全事故的管理人员理解在组织中处理信息安全事故时,事故处理优先权的规则。
l控制措施-从事故中吸取教训
应当有相应的机制来量化并监测信息安全事故的类型、大小和造成的损失。
安全事件发生后,安全主管部门应对事故的类型、严重程度、发生的原因、性质、频率、产生的损失、责任人进行调查确认,形成事故或故障评价资料。已发生的信息安全事件可以作为信息安全教育与培训的案例,以便组织内相关的人员从事故中学习,以避免再次出现;如果安全事件再次发生,能够更迅速有效地进行处理。
l控制措施-收集证据
当安全事故发生后需要对个人或组织采取法律行动(无论是民事诉讼还是刑事诉讼)时,都应当以符合法律规定的形式收集、保留并提交证据。
当组织需要实施惩戒行动时,应该制定和遵循组织内部收集和提交证据的规范程序。证据规则包括:
Ø证据的可用性:证据能被法律部门采纳,可在法庭上出示;
Ø证据的有效性:证据的质量和完整性。
为了确保证据的可用性,组织应该保证自己的信息系统在采集证据过程中,符合有关标准和规范的要求。
为保证证据的有效性,组织应当采取必要的控制措施来保证证据的质量和完整性控制要求,在从证据被发现到存储和处理的整个过程中,都应当建立较强的审计轨迹。
任何司法取证工作都只允许在原始证据材料的拷贝上进行,以确保所有证据材料的完整性都得到了妥善保护。证据材料的拷贝应该在可信赖人员的监督下进行,什么时候在什么地方进行的拷贝,谁进行的拷贝,使用了什么工具和程序进行的拷贝,这些都应该记录在日志中。