ISMS-MG-A.13-01 信息安全事故管理指南

1、| Internal Use Only ISO 27001信息安全管理體系文件信息安全事故管理指南文檔信息文檔名稱信息安全事故管理指南文檔編號ISMS-MG-A.13-01受控狀態(tài)受控文件擴散范圍內(nèi)部使用制作人制作日期2007-1-20復審人復審日期2007-1-21版本歷史版本日期說明修訂人1.02007-1-20創(chuàng)建文件目的確保與信息系統(tǒng)有關的安全事件和弱點的溝通能夠及時采取糾正措施。確保使用持續(xù)有效的方法管理信息安全事故。適用范圍本文檔適用于公司建立的信息安全管理體系。本文檔將依據(jù)信息技術和信息安全技術的不斷發(fā)展和信息安全風險與信息安全保護目標的不斷變化而進行版本升級。定義本程序引用GB

2、/T19000-2000 idt ISO9000:2000標準中的術語及公司質(zhì)量手冊中的定義。本程序引用ISO/IEC 17799:2005標準中的術語。程序4.1報告信息安全事故和弱點4.1.1報告信息安全事件 應通過適當?shù)墓芾硗緩奖M快報告信息安全事件。應該建立正常的信息安全事件報告、事故應答和分類機制，在接到信息安全事件報告后著手采取措施。應該建立信息安全事件報告聯(lián)系方，確保整個機構(gòu)都知道這個聯(lián)系方，這個聯(lián)系方容易得到，并能做當及時的應答。所有的員工、合同方和第三方用戶都應該知曉他們有責任盡可能快地報告信息安全事件。他們應該知道報告信息安全事件的程序和聯(lián)系方。報告機制應該包括：a)采取適當

3、的反饋機制，以確保在信息安全事件處理完成后，能夠?qū)⑻幚斫Y(jié)果通知給事件報告方；b)信息安全事件的報告形式應該支持報告行為，幫助報告者去記下信息安全事件中的所有行為。c)信息安全事件發(fā)生后應該采取正確的行為，即1）立即記錄下所有重要的細節(jié)（如沖突類型，發(fā)生的故障，屏幕上顯示的消息，異常行為）；2）自己不要采取任何行動，只能立即向聯(lián)系方報告。d)參考已建立的正常約束機制，來處理員工、合同方或第三方用戶中的違反安全行為。在高風險環(huán)境下，可以提供強制報警，由此一個人在強制下可以指出那樣的問題。對強制報警的應答機制應能反映那樣的報警所指明的高風險情況。信息安全事件和事故實例如下：a)服務、器材和設備的丟失

4、，b)系統(tǒng)故障或超載，c)人為錯誤，d)策略或指南的沖突，e)違背物理安全設置，f)非控的系統(tǒng)改變，g)軟件或硬件故障，h)非法訪問。從正當機密性方面考慮，信息安全事故可以用來對用戶進行意識訓練（見 ISO 17799 8.2.2），如可能發(fā)生什么樣的事故，對那樣的事故應該怎樣應對，怎樣避免將來再發(fā)生此類事故。為了完全解決信息安全事件和事故，在其發(fā)生后應該盡可能搜集證據(jù)（見 ISO 17799 13.2.3）。故障或其它異常的系統(tǒng)行為可能是安全攻擊和實際安全問題的指示器，因此應該將其當作信息安全事件進行報告。關于信息安全事件的報告和信息安全事故的管理方面的信息可以參見 ISO/IEC TR18

5、044。4.1.2報告安全弱點 應要求所有的員工、合同方和第三方用戶注意并報告系統(tǒng)或服務中已發(fā)現(xiàn)或疑似的安全弱點。為了防止信息安全事故的發(fā)生，所有員工、合同方和第三方用戶應該盡可能將這些事情報告給他們的管理者，或者直接報告給服務供應商。報告機制應該盡可能容易、易理解和方便可用。在任何情況下，他們都無需試圖去證明他們懷疑的弱點。應通知員工、合同方和第三方用戶不要試圖去證明他們懷疑的安全弱點。測試弱點可以被解釋為對系統(tǒng)可能的濫用，可能導致信息系統(tǒng)和服務的損壞。個人進行測試導致法律責任等。4.2信息安全事故管理和改進4.2.1職責和程序 應建立管理職責和程序，以快速、有效和有序的響應信息安全事故。除

6、了對信息安全事件和弱點進行報告（見 ISO 17799 13.1）外，還應該利用系統(tǒng)的監(jiān)視、報警和攻擊功能來檢測信息安全事故。信息安全事故管理機制應考慮下面的內(nèi)容：a)應該建立機制以處理不同類型的信息安全事故。包括：1）信息系統(tǒng)失敗和服務丟失；2）惡意代碼（見 ISO 17799 10.4.1）；3）拒絕服務；4）不完善或不準確的業(yè)務數(shù)據(jù)導致的錯誤；5）違背機密性和完整性；6）信息系統(tǒng)濫用。b)除了正常的意外事故計劃（見 ISO 17799 14.1.3）， 規(guī)程應該也包括（也見 ISO 17799 13.2.2）：1）事故原因的分析和確認；2）謁制事故再發(fā)生的策略；3）如果需要，制定計劃和實

7、施糾正行動以防止事故再發(fā)生；4）同受到事故影響和有關事故恢復的人進行交流；5）向有關的機構(gòu)報告發(fā)生的行為。c)收集和保護審計蹤跡和類似的證據(jù)，在下面的行為中用：1）內(nèi)部問題分析；2）用作違反合同、法規(guī)或民事和刑事案件的司法證據(jù)。如計算機濫用和違反數(shù)據(jù)保護法；3）同軟件和服務供應商談判賠時用。d)恢復安全破壞和系統(tǒng)失敗的行為應該受到仔細和正規(guī)的控制?；謴蜋C制應該確保：1）只有明確指定和授權的人才允許訪問存活的系統(tǒng)和數(shù)據(jù)（也見 ISO 17799 6.2 外部訪問）；2）所有采取的處理緊急事件的行為都應該詳細記錄；3）所有采取的處理緊急事件的行為應該報告給管理部門，依序進行評議；4）應該以最小的延

8、遲確保業(yè)務系統(tǒng)的完整性和可控性。信息安全事故管理的目標同管理是一致的，它應該確保負責信息安全事故管理的人明白機構(gòu)內(nèi)處理信息安全事故具有優(yōu)先權。信息安全事故可能超越機構(gòu)和國家的界限，對這樣的事故做出響應，越來越需要同外部機構(gòu)進行協(xié)作，共享事故的信息，共同做出響應。4.2.2從信息安全事故中學習 應建立能夠量化和監(jiān)控信息安全事故的類型、數(shù)量、成本的機制。從對信息安全事故評估中獲取的信息應該用來識別再發(fā)生的事故和重大影響的事故。對信息安全事故的評估可以指出需要增加控制來限制事故發(fā)生的頻率、損失和將來再發(fā)生的費用，也可以用在安全方針評審過程中（見 ISO 17799 4.1.2）。4.2.3收集證據(jù)

9、事故發(fā)生后，應根據(jù)相關法律的規(guī)定（無論是民法還是刑法）跟蹤個人或組織的行動，應收集、保留證據(jù)，并以符合法律規(guī)定的形式提交。當收集和提交證據(jù)是為了在機構(gòu)約束行為時，應該制定和遵循內(nèi)部規(guī)程?？偟膩碚f，證據(jù)規(guī)則包括：a)證據(jù)的可用性b)證據(jù)的份量為了獲得證據(jù)的可用性，機構(gòu)應該確保自己的信息系統(tǒng)是遵從任何公開的標準和實用代碼來產(chǎn)生可用的證據(jù)。提供證據(jù)的份量應該遵從任何可應用的需求。為了達到證據(jù)的份量，用來正確一致地保護證據(jù)（即處理控制證據(jù)）的質(zhì)量和完整性控制，在從證據(jù)被發(fā)現(xiàn)的整個時期內(nèi)，證據(jù)的存儲和處理應該通過一種強的證據(jù)軌跡來描述。一般情況下，那樣的強證據(jù)軌跡能在下面的條件下建立：a)對紙制文檔：原

10、物應該帶著下面的記錄進行安全保存：誰發(fā)現(xiàn)了這個文檔，文檔是在哪被發(fā)現(xiàn)的，文檔是什么時候被發(fā)現(xiàn)的，誰來證明這個發(fā)現(xiàn)；任何調(diào)查都應確保原物不是偽造的。b)對計算機介質(zhì)上的信息：任何可移動介質(zhì)的鏡像和拷貝（依賴于應用需求）、硬盤和內(nèi)存中的信息都應該確保其可用性；拷貝處理過程中所有的行為日志都應該保存下來，處理的過程應該有證明；介質(zhì)的原始數(shù)據(jù)和日志（如果不可能的話，至少一個鏡像文件或拷貝）應該安全保存，不能修改。任何爭論性的工作只允許在拷貝證據(jù)材料時進行。所有證據(jù)材料的完整性應該得到保護。證據(jù)材料的拷貝應該在可依賴人員的監(jiān)督下進行，什么時候在什么地方進行的拷貝，誰進行的拷貝，使用了什么工具和程序進行的拷貝，這些都應該做日志。當一個信息安全事件首次被檢測到時，這個事件是否會導致法律行為可能不會是顯而易見的。因此，在意識