| A.16 信息安全事件管理 | ||
| A.16.1 信息安全事件的管理和改进 | ||
| 目标:确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通。 | ||
| A.16.1.1 | 责任和规程 | 控制 应建立管理责任和规程,以确保快速、有效和有序地响应信息安全事件。 |
| A.16.1.2 | 报告信息安全事态 | 控制 应通过适当的管理渠道尽快地报告信息安全事态。 |
| A.16.1.3 | 报告信息安全弱点 | 控制 应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。 |
| A.16.1.4 | 信息安全事态的评估和决策 | 控制 应评估信息安全事态并决定其是否属于信息安全事件。 |
| A.16.1.5 | 信息安全事件的响应 | 控制 应按照文件化的规程响应信息安全事件。 |
| A.16.1.6 | 从信息安全事件中学习 | 控制 应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响。 |
| A.16.1.7 | 证据的收集 | 控制 组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息。 |
控制解析:
- 应建立书面的《信息安全事件管理程序》,定义信息安全事件以及级别,信息安全事件处置流程,信息安全事件证据收集流程等。
- 信息安全弱点,可能是技术上的,也可能是管理上的,是客观存在的;信息安全事态是可能违反信息安全策略和规范,可能造成了一定的后果,需要进一步确定是否已经发展为信息安全事件。
- 在《信息安全事件管理程序》中需要明确信息安全弱点和信息安全事态的报告渠道和方式,并告知所有员工和外部合同方(如外包员工、供方员工等)。
- 信息安全事态处置部门,应召集相关人员对报告的信息安全事态进行评估,以便决策是否已经发展为信息安全事件,如果确认为信息安全事件,需要评估事件级别,以便启动相应的应急响应。
- 信息安全事件发生后,应进行初步原因分析,采取紧急措施,事后应进行详细的原因分析,采取纠正措施,防止类似事件的发生,并形成书面的信息安全事件报告。在不泄密的前提下,信息安全事件案列可用于内部员工信息安全意识的培训。
- 信息安全事件发生后,应按照信息安全事件证据收集流程及时收集相关证据,以便用于事件分析、处罚或追究刑事责任等。
实施本控制应输出的文档:
- 《信息安全事件管理程序》。
- 信息安全事态和信息安全弱点报告记录。
- 信息安全事件报告。
- 信息安全事件响应记录。
本控制审核要点:
- 能否提供信息安全弱点报告清单,信息安全弱点问题是否整改关闭。
- 能否提供信息安全事态报告清单。
- 信息安全事态评审记录。
- 信息安全事件报告记录。
