| 5 | Organizational controls 组织控制 | |
| 5.24 | Information security incident management planning and preparation 信息安全事件管理的策划和准备 | Control 控制 The organization shall plan and prepare for managing information security incidents by defining, establishing and communicating information security incident management processes, roles and responsibilities. 组织应定义、建立和沟通信息安全事件管理过程、角色和职责,以策划和准备信息安全事件的管理。 |
| 5.25 | Assessment and decision on information security events 信息安全事态的评估和决策 | Control 控制 The organization shall assess information security events and decide if they are to be categorized as information security incidents. 组织应评估信息安全事态并决定其是否属于信息安全事件。 |
| 5.26 | Response to information security incidents 信息安全事件的响应 | Control 控制 Information security incidents shall be responded to in accordance with the documented procedures. 组织应按照文件化的规程响应信息安全事件。 |
| 5.27 | Learning from information security incidents 从信息安全事件中学习 | Control 控制 Knowledge gained from information security incidents shall be used to strengthen and improve the information security controls. 应利用在信息安全事件中得到的知识来增强和提升信息安全控制。 |
| 5.28 | Collection of evidence 证据的收集 | Control 控制 The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events. 组织应建立识别、收集、获取和保存信息安全事件的相关证据的规程,并予以实施。 |
| A.16 信息安全事件管理(ISO/IEC 27001: 2013 附录A) | ||
| A.16.1 信息安全事件的管理和改进 | ||
| 目标:确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通。 | ||
| A.16.1.1 | 责任和规程 | 控制 应建立管理责任和规程,以确保快速、有效和有序地响应信息安全事件。 |
| A.16.1.4 | 信息安全事态的评估和决策 | 控制 应评估信息安全事态并决定其是否属于信息安全事件。 |
| A.16.1.5 | 信息安全事件的响应 | 控制 应按照文件化的规程响应信息安全事件。 |
| A.16.1.6 | 从信息安全事件中学习 | 控制 应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响。 |
| A.16.1.7 | 证据的收集 | 控制 组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。 |
控制解析:
- A.5.24 & A.5.25 & A.5.26 & A.5.27 & A.5.28这些控制项都属于信息安全事件管理模块,基本与ISO/IEC 27001: 2013相关控制项保持了一致,只是在新版中将ISO/IEC 27001: 2013中A.16.1.2和A.16.1.3合并了,并放到了新版A.6人员控制中。
- 组织应建立信息安全事件管理过程,并形成书面的《信息安全事件管理程序》,在文件中明确信息安全事件以及级别,信息安全事件处置流程,信息安全事件证据收集流程等(A.5.24)。
- 信息安全事态处置部门,应召集相关人员对报告的信息安全事态进行评估,以便决策是否已经发展为信息安全事件,如果确认为信息安全事件,需要评估事件级别,以便启动相应的应急响应(A.5.25)。
- 一旦事态确定为信息安全事件,要立即按照信息安全事件处置流程,启动应急响应(A.5.26)。
- 信息安全事件发生后,应进行初步原因分析,采取紧急措施,事后应进行详细的原因分析,采取纠正措施,防止类似事件的发生,并形成书面的信息安全事件报告。在不泄密的前提下,信息安全事件案列可用于内部员工信息安全意识的培训(A.5.27)。
- 信息安全事件发生后,应按照信息安全事件证据收集流程及时收集相关证据,以便用于事件分析、处罚或追究刑事责任等(A.5.28)。
实施本控制应输出的文档:
- 《信息安全事件管理程序》。
- 信息安全事态和信息安全弱点报告记录。
- 信息安全事件报告。
- 信息安全事件响应记录。
本控制审核要点:
- 能否提供信息安全弱点报告清单,信息安全弱点问题是否整改关闭。
- 能否提供信息安全事态报告清单。
- 信息安全事态评审记录。
- 信息安全事件报告记录。
