1、| Internal Use Only ISO 27001信息安全管理體系文件信息安全事故管理指南文檔信息文檔名稱信息安全事故管理指南文檔編號(hào)ISMS-MG-A.13-01受控狀態(tài)受控文件擴(kuò)散范圍內(nèi)部使用制作人制作日期2007-1-20復(fù)審人復(fù)審日期2007-1-21版本歷史版本日期說(shuō)明修訂人1.02007-1-20創(chuàng)建文件目的確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施。確保使用持續(xù)有效的方法管理信息安全事故。適用范圍本文檔適用于公司建立的信息安全管理體系。本文檔將依據(jù)信息技術(shù)和信息安全技術(shù)的不斷發(fā)展和信息安全風(fēng)險(xiǎn)與信息安全保護(hù)目標(biāo)的不斷變化而進(jìn)行版本升級(jí)。定義本程序引用GB

2、/T19000-2000 idt ISO9000:2000標(biāo)準(zhǔn)中的術(shù)語(yǔ)及公司質(zhì)量手冊(cè)中的定義。本程序引用ISO/IEC 17799:2005標(biāo)準(zhǔn)中的術(shù)語(yǔ)。程序4.1報(bào)告信息安全事故和弱點(diǎn)4.1.1報(bào)告信息安全事件 應(yīng)通過(guò)適當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事件。應(yīng)該建立正常的信息安全事件報(bào)告、事故應(yīng)答和分類機(jī)制，在接到信息安全事件報(bào)告后著手采取措施。應(yīng)該建立信息安全事件報(bào)告聯(lián)系方，確保整個(gè)機(jī)構(gòu)都知道這個(gè)聯(lián)系方，這個(gè)聯(lián)系方容易得到，并能做當(dāng)及時(shí)的應(yīng)答。所有的員工、合同方和第三方用戶都應(yīng)該知曉他們有責(zé)任盡可能快地報(bào)告信息安全事件。他們應(yīng)該知道報(bào)告信息安全事件的程序和聯(lián)系方。報(bào)告機(jī)制應(yīng)該包括：a)采取適當(dāng)

3、的反饋機(jī)制，以確保在信息安全事件處理完成后，能夠?qū)⑻幚斫Y(jié)果通知給事件報(bào)告方；b)信息安全事件的報(bào)告形式應(yīng)該支持報(bào)告行為，幫助報(bào)告者去記下信息安全事件中的所有行為。c)信息安全事件發(fā)生后應(yīng)該采取正確的行為，即1）立即記錄下所有重要的細(xì)節(jié)（如沖突類型，發(fā)生的故障，屏幕上顯示的消息，異常行為）；2）自己不要采取任何行動(dòng)，只能立即向聯(lián)系方報(bào)告。d)參考已建立的正常約束機(jī)制，來(lái)處理員工、合同方或第三方用戶中的違反安全行為。在高風(fēng)險(xiǎn)環(huán)境下，可以提供強(qiáng)制報(bào)警，由此一個(gè)人在強(qiáng)制下可以指出那樣的問(wèn)題。對(duì)強(qiáng)制報(bào)警的應(yīng)答機(jī)制應(yīng)能反映那樣的報(bào)警所指明的高風(fēng)險(xiǎn)情況。信息安全事件和事故實(shí)例如下：a)服務(wù)、器材和設(shè)備的丟失

4、，b)系統(tǒng)故障或超載，c)人為錯(cuò)誤，d)策略或指南的沖突，e)違背物理安全設(shè)置，f)非控的系統(tǒng)改變，g)軟件或硬件故障，h)非法訪問(wèn)。從正當(dāng)機(jī)密性方面考慮，信息安全事故可以用來(lái)對(duì)用戶進(jìn)行意識(shí)訓(xùn)練（見(jiàn) ISO 17799 8.2.2），如可能發(fā)生什么樣的事故，對(duì)那樣的事故應(yīng)該怎樣應(yīng)對(duì)，怎樣避免將來(lái)再發(fā)生此類事故。為了完全解決信息安全事件和事故，在其發(fā)生后應(yīng)該盡可能搜集證據(jù)（見(jiàn) ISO 17799 13.2.3）。故障或其它異常的系統(tǒng)行為可能是安全攻擊和實(shí)際安全問(wèn)題的指示器，因此應(yīng)該將其當(dāng)作信息安全事件進(jìn)行報(bào)告。關(guān)于信息安全事件的報(bào)告和信息安全事故的管理方面的信息可以參見(jiàn) ISO/IEC TR18

5、044。4.1.2報(bào)告安全弱點(diǎn) 應(yīng)要求所有的員工、合同方和第三方用戶注意并報(bào)告系統(tǒng)或服務(wù)中已發(fā)現(xiàn)或疑似的安全弱點(diǎn)。為了防止信息安全事故的發(fā)生，所有員工、合同方和第三方用戶應(yīng)該盡可能將這些事情報(bào)告給他們的管理者，或者直接報(bào)告給服務(wù)供應(yīng)商。報(bào)告機(jī)制應(yīng)該盡可能容易、易理解和方便可用。在任何情況下，他們都無(wú)需試圖去證明他們懷疑的弱點(diǎn)。應(yīng)通知員工、合同方和第三方用戶不要試圖去證明他們懷疑的安全弱點(diǎn)。測(cè)試弱點(diǎn)可以被解釋為對(duì)系統(tǒng)可能的濫用，可能導(dǎo)致信息系統(tǒng)和服務(wù)的損壞。個(gè)人進(jìn)行測(cè)試導(dǎo)致法律責(zé)任等。4.2信息安全事故管理和改進(jìn)4.2.1職責(zé)和程序 應(yīng)建立管理職責(zé)和程序，以快速、有效和有序的響應(yīng)信息安全事故。除

6、了對(duì)信息安全事件和弱點(diǎn)進(jìn)行報(bào)告（見(jiàn) ISO 17799 13.1）外，還應(yīng)該利用系統(tǒng)的監(jiān)視、報(bào)警和攻擊功能來(lái)檢測(cè)信息安全事故。信息安全事故管理機(jī)制應(yīng)考慮下面的內(nèi)容：a)應(yīng)該建立機(jī)制以處理不同類型的信息安全事故。包括：1）信息系統(tǒng)失敗和服務(wù)丟失；2）惡意代碼（見(jiàn) ISO 17799 10.4.1）；3）拒絕服務(wù)；4）不完善或不準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)導(dǎo)致的錯(cuò)誤；5）違背機(jī)密性和完整性；6）信息系統(tǒng)濫用。b)除了正常的意外事故計(jì)劃（見(jiàn) ISO 17799 14.1.3）， 規(guī)程應(yīng)該也包括（也見(jiàn) ISO 17799 13.2.2）：1）事故原因的分析和確認(rèn)；2）謁制事故再發(fā)生的策略；3）如果需要，制定計(jì)劃和實(shí)

7、施糾正行動(dòng)以防止事故再發(fā)生；4）同受到事故影響和有關(guān)事故恢復(fù)的人進(jìn)行交流；5）向有關(guān)的機(jī)構(gòu)報(bào)告發(fā)生的行為。c)收集和保護(hù)審計(jì)蹤跡和類似的證據(jù)，在下面的行為中用：1）內(nèi)部問(wèn)題分析；2）用作違反合同、法規(guī)或民事和刑事案件的司法證據(jù)。如計(jì)算機(jī)濫用和違反數(shù)據(jù)保護(hù)法；3）同軟件和服務(wù)供應(yīng)商談判賠時(shí)用。d)恢復(fù)安全破壞和系統(tǒng)失敗的行為應(yīng)該受到仔細(xì)和正規(guī)的控制。恢復(fù)機(jī)制應(yīng)該確保：1）只有明確指定和授權(quán)的人才允許訪問(wèn)存活的系統(tǒng)和數(shù)據(jù)（也見(jiàn) ISO 17799 6.2 外部訪問(wèn)）；2）所有采取的處理緊急事件的行為都應(yīng)該詳細(xì)記錄；3）所有采取的處理緊急事件的行為應(yīng)該報(bào)告給管理部門，依序進(jìn)行評(píng)議；4）應(yīng)該以最小的延

8、遲確保業(yè)務(wù)系統(tǒng)的完整性和可控性。信息安全事故管理的目標(biāo)同管理是一致的，它應(yīng)該確保負(fù)責(zé)信息安全事故管理的人明白機(jī)構(gòu)內(nèi)處理信息安全事故具有優(yōu)先權(quán)。信息安全事故可能超越機(jī)構(gòu)和國(guó)家的界限，對(duì)這樣的事故做出響應(yīng)，越來(lái)越需要同外部機(jī)構(gòu)進(jìn)行協(xié)作，共享事故的信息，共同做出響應(yīng)。4.2.2從信息安全事故中學(xué)習(xí) 應(yīng)建立能夠量化和監(jiān)控信息安全事故的類型、數(shù)量、成本的機(jī)制。從對(duì)信息安全事故評(píng)估中獲取的信息應(yīng)該用來(lái)識(shí)別再發(fā)生的事故和重大影響的事故。對(duì)信息安全事故的評(píng)估可以指出需要增加控制來(lái)限制事故發(fā)生的頻率、損失和將來(lái)再發(fā)生的費(fèi)用，也可以用在安全方針評(píng)審過(guò)程中（見(jiàn) ISO 17799 4.1.2）。4.2.3收集證據(jù)

9、事故發(fā)生后，應(yīng)根據(jù)相關(guān)法律的規(guī)定（無(wú)論是民法還是刑法）跟蹤個(gè)人或組織的行動(dòng)，應(yīng)收集、保留證據(jù)，并以符合法律規(guī)定的形式提交。當(dāng)收集和提交證據(jù)是為了在機(jī)構(gòu)約束行為時(shí)，應(yīng)該制定和遵循內(nèi)部規(guī)程。總的來(lái)說(shuō)，證據(jù)規(guī)則包括：a)證據(jù)的可用性b)證據(jù)的份量為了獲得證據(jù)的可用性，機(jī)構(gòu)應(yīng)該確保自己的信息系統(tǒng)是遵從任何公開(kāi)的標(biāo)準(zhǔn)和實(shí)用代碼來(lái)產(chǎn)生可用的證據(jù)。提供證據(jù)的份量應(yīng)該遵從任何可應(yīng)用的需求。為了達(dá)到證據(jù)的份量，用來(lái)正確一致地保護(hù)證據(jù)（即處理控制證據(jù)）的質(zhì)量和完整性控制，在從證據(jù)被發(fā)現(xiàn)的整個(gè)時(shí)期內(nèi)，證據(jù)的存儲(chǔ)和處理應(yīng)該通過(guò)一種強(qiáng)的證據(jù)軌跡來(lái)描述。一般情況下，那樣的強(qiáng)證據(jù)軌跡能在下面的條件下建立：a)對(duì)紙制文檔：原

10、物應(yīng)該帶著下面的記錄進(jìn)行安全保存：誰(shuí)發(fā)現(xiàn)了這個(gè)文檔，文檔是在哪被發(fā)現(xiàn)的，文檔是什么時(shí)候被發(fā)現(xiàn)的，誰(shuí)來(lái)證明這個(gè)發(fā)現(xiàn)；任何調(diào)查都應(yīng)確保原物不是偽造的。b)對(duì)計(jì)算機(jī)介質(zhì)上的信息：任何可移動(dòng)介質(zhì)的鏡像和拷貝（依賴于應(yīng)用需求）、硬盤和內(nèi)存中的信息都應(yīng)該確保其可用性；拷貝處理過(guò)程中所有的行為日志都應(yīng)該保存下來(lái)，處理的過(guò)程應(yīng)該有證明；介質(zhì)的原始數(shù)據(jù)和日志（如果不可能的話，至少一個(gè)鏡像文件或拷貝）應(yīng)該安全保存，不能修改。任何爭(zhēng)論性的工作只允許在拷貝證據(jù)材料時(shí)進(jìn)行。所有證據(jù)材料的完整性應(yīng)該得到保護(hù)。證據(jù)材料的拷貝應(yīng)該在可依賴人員的監(jiān)督下進(jìn)行，什么時(shí)候在什么地方進(jìn)行的拷貝，誰(shuí)進(jìn)行的拷貝，使用了什么工具和程序進(jìn)行的拷貝，這些都應(yīng)該做日志。當(dāng)一個(gè)信息安全事件首次被檢測(cè)到時(shí)，這個(gè)事件是否會(huì)導(dǎo)致法律行為可能不會(huì)是顯而易見(jiàn)的。因此，在意識(shí)