华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27001标准“A.16.1 信息安全事件的管理和改进”条款讲解

ISO27001认证:ISO27001标准“A.16.1 信息安全事件的管理和改进”条款讲解

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-1
【标准条款】
A.16.1 信息安全事件的管理和改进
目的:确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通。
A.16.1.1 责任和规程
应建立管理责任和规程,以确保快速、有效和有序地响应信息安全事件。
【理解与应用】
信息安全事件管理责任和规程宜考虑如下内容:
(1)宜建立管理责任以确保以下规程被制定并在组织内得到充分的交流:
——规划和准备事件响应的规程;
——监视、发现、分析和报告信息安全事态和事件的规程;
——记录事件管理活动的规程;一处理司法证据的规程;
——评估和决断信息安全事态以及评估信息安全弱点的规程;
——包括升级、事件的受控恢复、与内外部人员或组织沟通在内的响应的规程;
(2)所建立的规程宜确保∶
——胜任的人员处理组织内的信息安全事件相关问题;
——建立安全事件发现和报告的联络点;
——保持与处理信息安全事件相关问题的部门、外部相关团体或论坛之间适当的联系;
(3)报告规程宜包含∶
——准备信息安全事态报告表格,以便在信息安全事态发生时支持报告行动和帮助人员在报告时记住所有必要的行动;
——在信息安全事态发生时所采取的规程,例如立刻注意到所有细节(诸如不合规或违规的类型、发生的故障、屏幕上的消息),并立刻向联络点报告和仅采取协调行动;
——参考已建立的正式纪律处罚过程来处理安全违规的员工;
——适宜的反馈过程,以确保信息安全事态报告人员在问题被处理并关闭后得到结果的通知。
信息安全事件管理的目的宜与管理层商定,并宜确保信息安全事件管理责任人理解组织在处理信息安全事件上的优先级。
 
【标准条款】
A. 16.1.2 报告信息安全事态
应通过适当的管理渠道尽快地报告信息安全事态。
【理解与应用】
所有员工和合同方人员都宜知道他们有责任尽可能快地报告信息安全事态。他们还宜知道报告信息安全事态的规程和联络点。
可进行信息安全事态报告的情况如下:
(1)无效的安全控制;
(2)违背信息完整性、保密性或可用性的预期;
(3)人为差错;
(4)不符合策略或指南;
(5)物理安全安排的违规;
(6)不受控的系统变更;
(7)软件或硬件的故障;
(8)非法访问。
同时,需要关注故障或其他异常的系统行为可能是安全攻击和实际安全违规的迹象,因此宜始终将其当作信息安全事态进行报告。
 
【标准条款】
A. 16.1.3 报告信息安全弱点
应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。
【理解与应用】
为了防止信息安全事件,所有员工和合同方宜尽可能快地将这些问题向联络点报告。报告机制宜尽可能地简单、方便和可用。
同时,也需要建议员工和合同方不要试图去证明被怀疑的安全弱点。测试弱点可能被看作是潜在的系统滥用,还可能引起对信息系统或服务的损害,并导致执行测试的人员在法律上的责任。
 
【标准条款】
A.16.1.4 信息安全事态的评估和决策
应评估信息安全事态并决定其是否属于信息安全事件。
【理解与应用】
联络点宜使用商定的信息安全事态和事件分级尺度评估每个信息安全事态,并决定该事态是否该归于信息安全事件。事件的分级和优先级有助于标识事件的影响和程度。当组织中有信息安全事件响应团队(ISIRT)时,评估和决策可交至ISIRT进行确认和再评估。
宜详细记录评估和决策的结果,供日后参考和验证。
 
【标准条款】
A. 16.1.5 信息安全事件的响应
应按照文件化的规程响应信息安全事件。
【理解与应用】
宜通过任命的联络点、组织内或外部方的相关人员对信息安全事件予以响应(见 A.16.1.1责任和规程)。
响应宜包括:
(1)事件发生后尽快收集证据;
(2)按要求进行信息安全取证分析(见 A.16.1.7证据的收集);
(3)按要求升级;
(4)确保所有涉及的响应活动被适当记录,便于日后分析;
(5)本着按需知晓原则,与其他内部和外部人员或组织交流存在的信息安全事件及任何相关细节;
(6)处理发现的导致或促使事件发生的信息安全弱点;
(7)一旦事件被成功处理,正式将其关闭并记录。必要时,宜进行事后事件分析以识别事件来源。
同时,也需要明确事件响应的首要目的是重新回到"正常的安全水平",然后启动必要的恢复。
 
【标准条款】
A. 16.1.6 从信息安全事件中学习
应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响。
【理解与应用】
宜有能够量化和监视信息安全事件的类型、规模和代价的机制。宜利用从信息安全事件评价中获得的信息来识别易复发的或高影响的事件。
信息安全事件的评价可能表明,需要强化或附加的控制来降低未来事件发生的频率、损害和代价,或在安全策略评审过程中加以考虑(见A.5.1.2信息安全策略的评审)。
在确保保密性的前提下,来自实际信息安全事件的案例可被用于意识培训(见A.7.2.2信息安全意识、教育和培训),作为例子说明发生了什么、如何响应以及未来如何避免。
 
【标准条款】
A. 16.1.7 证据的收集
组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。
【理解与应用】
宜制定内部规程,并在处理用于纪律和法律目的的证据时遵守。
一般来说,这些规程宜根据不同类型的介质、设备及设备状态(如开机或关机)提供证据识别、收集、获取和保存的过程。这些规程宜考虑:
(1)监管链;
(2)证据的安全;
(3)人员的安全;
(4)所涉及人员的角色和责任;
(5)人员的能力;
(6)文件化;
(7)简报。
可用时,宜寻求对人员和工具资格的认证或其他相关手段,以增强所保存证据的价值。
法律证据可能超越组织或司法管辖的边界。在这种情况下,宜确保组织有资格去收集作为法律证据所要求的信息。还宜考虑不同司法管辖区的要求,以使跨越相关司法管辖区的准入机会最大化。
识别是包括搜索、辨认和记录潜在证据的过程。收集是聚集可能包含潜在证据的物证的过程。获取是在已定义的集合中创建数据拷贝的过程。保存是维护和保护潜在证据的完整性和原始状态的过程。
当一个信息安全事态被首次发现时,这个事态是否会导致法庭诉讼可能不是显而易见的。因此,在认识到事件的严重性之前,必要的证据被故意或意外毁坏的危险是存在的。如果预计要采取任何法律行动,最好及早请律师或警察介入,并接受关于所需证据的建议。
ISO/IEC 27037提供数字证据的识别、收集、获取和保存的指南。
想了解更多的关于ISO27001认证信息可以经常关注我们