a)提供足够的数据保护和个人信息的隐私保护。在那些有特定法律涵盖数据保密性和完整性的国家中,对于个人数据的控制常常受到限制。由于信息安全事件通常需要归因到个人,个人特性的信息可能因此需要被相应地记录和管理。因此,结构化的信息安全事件管理方法需要考虑适当的隐私保护。这可能包括以下方面:
1)如果实际情况可行,访问被调查人的个人数据的人员不宜与其存在私交;
2)在允许访问个人数据之前,宜签署保密协议;
3)信息宜仅用于其被获取的明示目的,即信息安全事件调查。
b)维护适当的记录保存。一些国家的法律,要求公司维护其活动的适当记录,在每年组织的审计过程中进行审查。政府机构也有类似的要求。在某些国家,要求组织报告或生成执法用的档案(例如,当涉及到对政府敏感系统的严重犯罪或渗透时)。
f)与外部支持人员的合同涵盖所有要求的方面。与任何外部支持人员的合同,例如来自外部IRT人员,在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。
g)保密协议可强制执行。信息安全事件管理团队成员在入职和离职时,可被要求签署保密协议。在一些国家,已签署的保密协议可能在法律上无效,宜对此予以核实。
1)如果一个事件可能影响到其他组织(例如,披露共享信息,但没有及时通知,导致其他组织受到不利影响);
3)没有编制报告,但在某些国家,在涉及到对政府敏感系统或关键国家基础设施组成部分的严重犯罪或渗透时,要求组织报告或生成执法用的档案;
这可能会损害涉案个人或组披露的信息似乎表明某人或组织可能被卷入了攻击。4)织的声誉和业务;披露的信息表明可能是特定软件的问题,但后来发现并非如此。5)
当有具体法规要求时,宜将事件报告给指定机构,例如,在许满足具体法规要求。j)
多国家对核电工业、电信公司和互联网服务提供商那样的要求。能够成功起诉或执行内部纪律规程。适当的信息安全控制措施宜到位,包括可证明k)防篡改的审计跟踪,以此能够成功地对
“攻击者”起诉或执行内部纪律规程,无论攻击是技术的还是物理的。为支持这项工作,需要以在适当的国家法院或其他纪律论坛上可接受的方式收集证据。从而可以表明:
1)记录是完整的且没有以任何方式被篡改;
2)电子证据副本可证明与原件相同;
3)任何收集证据的IT系统在证据被收集时是正常运行的。
m)可接受的使用策略得到定义和沟通。可接受的实践/使用宜得到定义,形成文件,并与所有预期用户沟通。例如,当加入一个组织或获得信息系统的访问权限时,宜告知用户可接受的使用策略,并要求提供书面确认,以表明他们理解和接受这一策略。
AA
附录B
信息安全事态、事件和脆弱性报告及表单示例
B.1概述
附录B包含信息安全事态、事件和脆弱性的记录事项及其报告表单示例。需要强调的是,这些仅是示例。还有其他例子,诸如事件对象描述和交换格式(IODEF)标准中的模式。
B.2记录事项示例
信息安全事态记录事项示例
包括信息安全事态的基本信息,诸如事态何时发生、发生了什么、如何发生的和为什么发生,以及报告人的联系信息。
—基本信息
—事态日期
—事态编号
—报告人详情
—姓名
—事态描述
—发生了什么
—如何发生的
—为什么发生
—对受影响组件或资产的初步意见
—对业务的不利影响
—识别的任何脆弱性
—事态详情
信息安全事件记录事项示例
包括信息安全事件的基本信息,诸如事件何时发生、发生了什么、如何发生的和为什么发生,以及事件类别、影响和事件响应结果。
—事件日期
—事件编号
姓名—.
—联络点(PoC)成员详情
—IRT成员详情
—事件描述
—事件详情
—事件类别
—受影响的组件或资产
—事件对业务的不利影响
—从事件中恢复的总成本
—事件解决方案
—涉及的人员或作案者(如果事件是由人引起的)
—作案者描述
—实际或感知的动机
—解决事件所采取的行动
—解决事件所计划的行动
—未完成的行动
—结论
—被告知的内部人员/实体
—被告知的外部人员/实体
信息安全脆弱性记录事项示例
包括信息安全脆弱性的基本信息,诸如脆弱性何时被识别、识别的是什么和如何被识别的,以及潜在影响和解决方案。