ISMS-MG-A.13-01信息安全事故管理指南..doc

ISO 27001信息安全管理体系文件 信息安全事故管理指南 文档信息 文档名称 信息安全事故管理指南 文档编号 ISMS-MG-A.13-01 受控状态 受控文件 扩散范围 内部使用 制作人 制作日期 2007-1-20 复审人 复审日期 2007-1-21 版本历史 版本 日期 说明 修订人 1.0 2007-1-20 创建文件 目的 确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。 确保使用持续有效的方法管理信息安全事故。 适用范围 本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 定义 本程序引用GB/T19000-2000 idt ISO9000:2000标准中的术语及公司《质量手册》中的定义。 本程序引用ISO/IEC 17799:2005标准中的术语。 程序 4.1报告信息安全事故和弱点 4.1.1 报告信息安全事件 应通过适当的管理途径尽快报告信息安全事件。 应该建立正常的信息安全事件报告、事故应答和分类机制，在接到信息安全事件报告后着手采取措施。应该建立信息安全事件报告联系方，确保整个机构都知道这个联系方，这个联系方容易得到，并能做当及时的应答。 所有的员工、合同方和第三方用户都应该知晓他们有责任尽可能快地报告信息安全事件。他们应该知道报告信息安全事件的程序和联系方。报告机制应该包括： a) 采取适当的反馈机制，以确保在信息安全事件处理完成后，能够将处理结果通知给事件报告方； b) 信息安全事件的报告形式应该支持报告行为，帮助报告者去记下信息安全事件中的所有行为。 c) 信息安全事件发生后应该采取正确的行为，即 1） 立即记录下所有重要的细节（如冲突类型，发生的故障，屏幕上显示的消息，异常行为）； 2） 自己不要采取任何行动，只能立即向联系方报告。 d) 参考已建立的正常约束机制，来处理员工、合同方或第三方用户中的违反安全行为。 在高风险环境下，可以提供强制报警，由此一个人在强制下可以指出那样的问题。对强制报警的应答机制应能反映那样的报警所指明的高风险情况。 信息安全事件和事故实例如下： a) 服务、器材和设备的丢失， b) 系统故障或超载， c) 人为错误， d) 策略或指南的冲突， e) 违背物理安全设置， f) 非控的系统改变， g) 软件或硬件故障， h) 非法访问。 从正当机密性方面考虑，信息安全事故可以用来对用户进行意识训练（见 ISO 17799 8.2.2），如可能发生什么样的事故，对那样的事故应该怎样应对，怎样避免将来再发生此类事故。为了完全解决信息安全事件和事故，在其发生后应该尽可能搜集证据（见 ISO 17799 13.2.3）。 故障或其它异常的系统行为可能是安全攻击和实际安全问题的指示器，因此应该将其当作信息安全事件进行报告。 关于信息安全事件的报告和信息安全事故的管理方面的信息可以参见 ISO/IEC TR18044。 4.1.2 报告安全弱点 应要求所有的员工、合同方和第三方用户注意并报告系统或服务中已发现或疑似的安全弱点。 为了防止信息安全事故的发生，所有员工、合同方和第三方用户应该尽可能将这些事情报告给他们的管理者，或者直接报告给服务供应商。报告机制应该尽可能容易、易理解和方便可用。在任何情况下，他们都无需试图去证明他们怀疑的弱点。 应通知员工、合同方和第三方用户不要试图去证明他们怀疑的安全弱点。测试弱点可以被解释为对系统可能的滥用，可能导致信息系统和服务的损坏。个人进行测试导致法律责任等。 4.2 信息安全事故管理和改进 4.2.1 职责和程序 应建立管理职责和程序，以快速、有效和有序的响应信息安全事故。 除了对信息安全事件和弱点进行报告（见 ISO 17799 13.1）外，还应该利用系统的监视、报警和攻击功能来检测信息安全事故。信息安全事故管理机制应考虑下面的内容： a) 应该建立机制以处理不同类型的信息安全事故。包括： 1） 信息系统失败和服务丢失； 2） 恶意代码（见 ISO 17799 10.4.1）； 3） 拒绝服务； 4） 不完善或不准确的业务数据导致的错误； 5） 违背机密性和完整性； 6） 信息系统滥用。 b) 除了正常的意外事故计划（见 ISO 17799 14.1.3）， 规程应该也包括（也见 ISO 17799 13.2.2）： 1） 事故原因的分析和确认； 2） 谒制事故再发生的策略； 3） 如果需要，制定计划和实施纠正行动以防止事故再发生； 4） 同受到事故影响和有关