4）联络外部组织（必要时）； 5）为确保IRT执行的所有信息安全事件管理活动得到正确记录供以后分析提出的要求和 理由。 m） 对跨组织协同工作来发现、分析和响应信息安全事件的组件的要求。 适用时，对任何监督或治理结构及其权力和职责的描述， 0） 与提供特定外部支持的组织的联系，诸如取证团队、法律顾问、其他IT运营者等。 与信息安全事件管理活动相关的法律法规合规要求或授权的概要（更多细节参见附录A）。 支持信息安全事件管理过程和相关活动的其他策略、规程和文件的列表和引用。策略中列出 的许多事项可能有自已更详细的规程或指导文件。 此外，还有其他相关的策略或规程可支持信息安全事件管理策略，如果适用于组织但还没有，也可 为准备阶段的一部分来建立。这包括但不限于： 第6章所述的信息安全事件管理计划。 持续监控策略，声明组织采取这种活动，并描述基本监控任务。持续监控确保在需要法律起诉 或内部纪律处分时电子证据的保全。 对IRT的授权，以便有来自其他操作部分的需要时能够访问监控输出或请求访问日志（本条 也可放人信息安全事件管理策略）。 信息共享、信息披露和沟通策略，概述事件管理活动相关信息如何、何时和与谁共享。信息宜 保密，只能根据相关法律进行披露。在许多情况下，法规要求任何个人可识别信息被泄露时都 需要告知受影响的各方。除了法律要求，信息也宜遵循组织对信息披露的任何要求。在事件 处理过程中，当引人或变更第三方时，信息需要被共享。信息共享的范围、环境和目的需要在 适当的策略和规程中得到描述或引用。使用交通灯协议（TLP）是信息披露指导和标记的 例子。 信息存储和处理策略，要求记录、数据以及其他调查相关数据被安全地存储并根据其敏感性进 行相应地处理。如果组织有文件标签或分类模式，这一策略对信息安全事件管理活动和人员 来说也很重要。 IRT章程，详细说明IRT要做什么和其操作权限。至少，章程宜包括使命陈述、IRT范围的定 义、IRT的最高管理层发起者细节、IRT的权限、IRT的联系信息、IRT的服务和核心活动列 表、IRT的权限和操作的范围、IRT的目的和目标，以及有关任何治理结构的讨论： ·团队的目标和目的非常重要，需要清晰、明确的定义。 ·RT的范围通常涵盖了所有组织的信息系统、服务和网络。在某些情况下，组织可以要求 范围不同（扩大或缩小），在这种情况下，它宜清楚地记录范围内和范围外分别是什么。 ·IRT治理可能包括识别具有对IRT有决策权力和建立权限等级的执行官、董事会成员或 总经理。知道这一点有助于组织内所有人员了解IRT的背景和建立，这些信息对在IRT 中建立信任是至关重要的。宜注意的是，详细信息公布之前，宜从法律的角度予以审查。 在某些情况下，团队权限的披露会使其直接面对责任要求。 信息安全事件管理意识和培训计划概述，宜包括任何对全体人员意识培训和对IRT成员事件 管理培训的培训任务、政策或要求

注：第5章对应于GB/T20985.1—2017的5.2b） 组织宜在整体层面以及具体的系统、服务和网络层面将信息安全事件管理内容包含在其信息安

排水标准规范范本GB/T 20985.22020

策略中，并将这些内容关联到事件管理策略。这种整合宜针对如下目标： a） 描述为什么信息安全事件管理很重要，尤其是信息安全事件报告和处理计划； b 表明最高管理层对需要做好适当的信息安全事件准备和响应（即信息安全事件管理计划）的 承诺； C 确保各种策略的一致性； d）确保有计划地、系统地和沉着地响应信息安全事件，从而最小化事件的负面影响。 关于信息安全风险评估和管理的指导，参见GB/T31722一2015

组织宜更新和维护企业级信息安全和风险管理策略，配上具体的系统、服务或网络的信息安全策 略，以确保它们是一致的和最新的。这些企业级策略宜明确地关联到信息安全事件管理策略和相关 计划。 企业级策略宜包括需要建立适当审查机制的要求。这些审查机制需要确保来自发现、监控和解决 信息安全事件的信息，以及来自处理被报告的信息安全脆弱性的信息，为维护策略持续有效性的过程提 供输

6制定信息安全事件管理计划

信息安全事件管理计划的目标是将信息安全事态、事件和脆弱性的处理活动和规程以及它们之间 的沟通形成文件。该计划源于也是基于信息安全事件管理策略。 总体而言，该计划的文档宜包含多个文件，包括用于信息安全事件的发现和报告、评估和决策、响应 和经验总结的表单、规程、组织要素和支持工具。 该计划可以包括事件管理活动基本流程顶层概要，来提供结构和指针指向计划的各种细节组件。 这些组件为事件处理者提供要遵循的分步指示，包括根据情况使用特定的工具、遵循特定的流程或处理 特定类型的事件。 一旦发现信息安全事态或收到信息安全脆弱性报告时，信息安全事件管理计划便开始生效。 组织宜使用该计划指导以下事项： a）响应信息安全事态； b） 判断信息安全事态是否成为信息安全事件； ） 管理信息安全事件直到结束； d） 应对信息安全脆弱性； 对报告事件的要求； f 在整个事件管理过程中，对存储信息（包括其格式）的要求； g） 与内外部的团体或组织共享信息的规则和环境； h） 识别经验教训，以及任何对计划和（或）安全所需的改进； 1） 实施已识别的改进， 事件响应计划的规划和准备宜由过程责任者承担，基于信息安全事件管理策略定义范围的事件响 应的一个或多个明确的且标

6.2基于共识建立信息安全事件管理计划

本部分为信息安全事件管理策略制定提供建议。然而，在没有相关的指导方针或标准、现行法律

组织宜确保信息安全事件管理计划是被全员以及相关承包商、ICT服务提供商、电信供应商和外包 公司承认的，因此涵盖以下职责： a）发现和报告信息安全事件（这是组织中任何长久人员或合同人员的责任）； b）评估和响应信息安全事态和事件，参与事件后的解决活动，包括总结经验，并改进信息安全和 信息安全事件管理计划本身（这是PoC成员、IRT、管理者、公关人员和法定代表人的责任）； c）报告信息安全脆弱性（这是组织中任何长久人员或合同人员的责任）。 该计划还宜考虑任何第三方用户，以及由第三方组织、政府和商业性信息安全事件与脆弱性信息提 共组织报告的信息安全事件和相关脆弱性。 参与各方被期望积极参与处理信息安全事件，因此宜对角色和职责做出清晰的划分，并使每个人都 意识到其角色和职责。角色划分宜伴有约定的事件切换协议，以便以合理的方式进行信息交换。如果 适当并可能，宜自动化事件切换和信息交换来提高这个过程的速度。如果组织或IRT的某些能力外包 给第三方，则可能出现这种场景。这种场景的实例有，当组织使用第三方运行的云系统时，或者当第三 方为组织进行数字取证时，或者在事件处理过程中与服务提供者一起工作时

6.4信息安全事件管理计划内容

在规划和准备过程考虑特定事件类型和相应的响应过程之前，宜定义和审核支持预期管理阶段的 关键决策准则和过程。这需要有可用的策略，对资产和控制的正式或非正式的理解，并获得参与者和管 理者的支持。 信息安全事件管理计划的内容宜包括概述以及详细的活动说明。如上所述，计划文档宜由包括表 单、规程、组织要素和支持工具等多个文档组成。 详细的活动、规程和信息宜关联到以下方面： a）规划和准备，包括： 1）标准化的信息安全事态/事件分类分级方法，以便能够提供一致的结果。在任何情况下， 决策宜基于对组织的业务运营造成的实际或预期不利影响以及相关指南。 注：GB/Z20986一2007给出了信息安全事态和事件的分类分级方法，附录C还给出了其他方法示例 2）为信息交换而构造的信息安全数据库结构可能提供以下方面的能力：共享报告/预警，比 较结果，改进预警信息，以及更准确地看待信息系统面临的威胁和存在的脆弱性。数据库 的实际格式和使用取决于组织的需求。例如，一个非常小的组织可能使用各种文件，而 个复杂的组织可能使用更复杂的技术，诸如关系数据库和应用工具。 3）有关决定每个相关过程中是否需要升级，升级给谁以及相关规程的指南。基于信息安全 事件管理计划中提供的指南，评估信息安全事态、事件或脆弱性的任何人宜知道在哪种情 况下有必要升级，以及宜升级给谁。此外，有不可预见的情况下这种升级可能是必要的

GB/T20985.22020

例如，一个小的信息安全事件如果处理不当或者一周内未跟进而导致重天的信息安全事 件，就会演变为重大或危机情况。 4 后续的规程，以确保所有信息安全事件管理活动由指定的人员正确记录，并进行日志 分析。 5 过程和机制，以确保变更控制机制得到维护，包括信息安全事态、事件和脆弱性跟踪，以及 信息安全报告更新和计划本身更新。 6 信息安全证据分析规程。 7 使用入侵检测系统（IDS)和入侵预防系统（IPS)的规程和指南，以确保相关的法律法规方 面问题得到解决。指南宜包括对从事攻击者监视活动的优点和缺点的论述。ISO/TEC 27039中有关于IDS的更多信息。 8 建立、实施和运行这些机制以防止信息安全事件发生和减少其可能性，并处理发生的信息 安全事件。 9） 信息安全事态、事件和脆弱性管理意识和培训计划材料。 10） 信息安全事件管理计划的测试规程和规范。 11） 信息安全事件管理的组织结构规划。 12） IRT整体或成员的工作范围和责任。 13） 重要的联系信息。 14）与组织的公共事务办公室、法律部门和最高管理层或有关部门协商一致的信息共享规程 和指南。 发现和报告，包括： 1 对发现和报告的规划和准备要求宜使能并支持寻找或接受信息安全事件信息的过程开发 和运行。 2） 宜基于报告的完整性和对一个或多个信息安全事态的验证来定义接受事件报告的准则。 为了支持随后的决策，在规划过程前宜定义任何事态发现预警或人工报告的最低接受准 则，并至少包括对受影响的环境或资产的识别，对一个或多个疑似或确定的事态或相适应 的事态类型的清单，以及报告的接收时间。为了支持决策，规划过程宜包括一种方法以返 回信息不足的发现或报告。 3 宜根据组织的语境、事件响应策略以及技术和管理角色的分配来定义报告输出或通知， 报告和通知的格式宜符合事件分级标度或一种连续的相关度量。 4） 发现和报告信息安全事件的发生（通过人工或自动方式）。 5） 响应报告过程的不正确使用（可能包括在事件管理计划范围之外采取行动）。 6） 收集信息安全事态信息。 7 发现和报告信息安全脆弱性。 8 将收集的信息记录到信息安全数据库中。 评估和决策，包括： 1）对评估和决策的规划和准备要求，宜使能并支持一系列过程的开发和运行，来评价和指导 信息安全事件响应行动。 2）在评估和决策过程并发之前，过程责任者宜确保定义了信息安全事件识别和分级的最小 信息，由必需和支持信息的具体项目组成。这个定义将允许响应规划者为所发现和报告 事态的完整性和分级开发一致的过程。宜定义区分正判和误判报告所需信息的充足性， 并充许信息积累以支持对误判的发现和报告进行评估和响应。 3 如果事件计划过程依赖于自动化信息管理和决策支持系统，宜明确这些系统的功能、实现 和持续运行。事件处理过程责任者宜确保在开放响应过程之前，充分定义了其依赖的信 息安全数据库

4）进行信息安全事态评估（包括需要时的升级）的PoC，宜使用信息安全事态/事件分级标度 （包括基于受影响的资产/服务来确定事态影响），来判断事态是否为信息安全事件。 5） 评估信息安全事态的IRT宜确认一个事态是否为信息安全事件。为此，宜使用信息安全 事态/事件分级标度再次评估来确认事态（疑似事件)类型和受影响资源（分类）的细节。 继而对以下事项做出决策：如何处理已确认的信息安全事件，由谁处理，什么优先级，以及 升级水准。 6 评估信息安全漏洞（尚未被利用导致信息安全事态和潜在的信息安全事件），并对以下事 项做出决策：需要做什么处理，由谁处理，如何处理和采取什么优先级处理。 7）在信息安全数据库中完整记录所有评估结果和相关决策。 响应，包括： 1）对响应的规划和准备要求宜使能并支持响应信息安全事件的过程开发和运行。在对响应 进行规划之前，事件处理过程责任者宜在以下方面收集定义、建立工作阅值或进行分类： 信息和信息系统优先级、每一人侵类型的影响、损害规模、人侵报警级别和严重性。这些 可以定性的或定量的，只要它们与评估和决策准备一致，并使IRT管理者能够为响应者 分配事件行动或任务。 2）在规划过程之前还宜定义响应级别，由成本、时间、技术资源的最小值和其他度量组成，以 便能够相对于所报告和评估事件的已知信息来分配响应级别。宜包括立即或延退响应， 以及对在响应过程中如何管理单个或循环事件任务的定义。 3）经IRT审查确定信息安全事件是否在控制之下： 如事件在控制之下，则立即（实时或接近实时）或者稍后触发所需的事件响应； 一如事件不在控制之下，或者会对组织的核心业务造成严重影响，则通过升级到危机处 理功能来触发危机活动。 4）定义在事件的管理过程中所涉及的所有内部和外部的功能和组织。 5 酌情遇制和根除信息安全事件，以减轻或阻止信息安全事件范围和影响的扩天。 6 需要时，进行信息安全证据分析。 7） 需要时，进行升级， 8）石 确保所有涉及的活动都得到正确记录以供日后分析。 9） 确保电子证据得到识别、收集/获得和保全。 10） 确保变更控制机制得到维护，从而使信息安全数据库保持最新。 11 就存在的信息安全事件或任何相关细节与其他内部和外部人员或组织进行沟通。 12） 处理信息安全脆弱性。 13） 一旦事件得到成功地处理，便将其正式结束，并记录在信息安全数据库中。 14） 需要时，事件后续活动宜包括进一步的分析。 15） 组织宜确保信息安全事件管理计划充许信息安全事件响应既可以是即刻的，也可以是长 期的。所有的信息安全事件宜经历过对业务运营的潜在不利影响的早期评估，包括短期 的和长期的（例如，在某个初始信息安全事故后有时可能会发生重大破坏）。此外，宜允 许对完全不可预见的信息安全事件做出某些必要的响应，这种情况下需要特别控制。即 使对于这种情况，组织宜在计划文档中包含对必要步骤的通用指导。 经验总结，包括： 1）从信息安全事件和脆弱性中吸取经验教训。

GB/T 20985.22020

息安全事件管理策略的改进，作为经验总结的结果。 3） 审查、识别并（如果可能)进行对组织现有信息安全风险评估和管理评审结果的改进，作为 经验总结的成果。 审查信息安全事件恢复和信息安全脆弱性处理的相关过程、规程、报告格式和（或）组织结 构的有效性，并基于经验总结识别和进行信息安全事件管理计划及其文档的改进。 更新信息安全数据库。 6）在可信社区中沟通和共享审查结果（如果组织希望如此）

营的实际或预计的不利影响做出事件等级决定 注：GB/Z20986一2007给出了信息安全事态和事件的分类分级方法，B C还给出了其他方法示例

注：简便起见，术语“文件”在文中用来指过程和规程，除非两者有明显区别 在能够开始信息安全事件管理计划运行之前，重要的是，组织已经记录并检查了必要的过程和规程 是可用的。每个文件宜表明负责其使用和管理的团体或个人。 重要的是，要明白并非所有的文件在组织内或对于一般公众是现成可用的。例如，没有必要让所有 的组织人员为与IRT交互而了解其内部运行。IRT宜确保可用的指南（包括信息安全事件分析的结果 信息)在现成可用的表单中，例如，适当时，可以放在组织内部和（或)公共网站上。也许同样重要的是， 对信息安全事件管理计划的某些细节保密，以防止内部人员篡改调查过程。例如，如果盗用资金的银行 员工知道如何进行调查的某些细节，那么在信息安全的调查和恢复事件中，该员工就能够更好地向调查 人员隐其活动，或妨碍信息安全事件的发现、调查和从中恢复。 操作规程的内容取决于若干准则，特别是关系到已知的潜在信息安全事态、事件和脆弱性，以及可 能涉及的信息系统资产类型及其环境。因此，操作规程可能关系到事件或产品（例如，防火墙、数据库、 操作系统、应用程序）的特殊类型，或一个具体特定产品。每个操作规程宜明确操作步骤和操作者。它 宜反映来自外部（例如，政府和商业IRT或类似的，以及供应商）以及内部的经验。 宜有操作规程来处理已知的信息安全事态、事件和脆弱性类型。当信息安全事态、事件或脆弱性不 是已知类型时，也宜有操作规程来遵循。在这种情况下，宜解决以下问题： a）例外情况处理的报告过程； b）得到管理层批准的时间表，以避免延误响应：

c）预授权的决策代理，可不经过正常批准过程进行决策。 IRT的操作规程开发宜包括文件化过程、相关责任和指定人员进行各种活动的角色分配（可以给 一个人分配多个角色，这取决于组织的规模、结构和业务性质）。例如，IRT操作规程包括如下方面： 关闭受影响的系统、服务和（或）网络，在某些情况下需要与相关IT和（或）业务管理事先协商 一致。 保留受影响的系统、服务和（或）网络继续连接和运行。 监视受影响的系统、服务和（或）网络进出及内部的数据流。 按照系统、服务和（或）网络安全策略，起动正常备份和危机管理规程和行动。 监视和维护的电子证据的安全保全，以备法律起诉或内部纪律处分的需要。 与内部和外部的人员或组织就信息安全事件细节进行沟通。可能包括与不同类型外部方进行 沟通，诸如其他事件响应小组、信息共享组织、互联网服务提供商、软件和支持厂商、执法机构、 客户、媒体和其他相关方。宜对与外部各方的所有接触和沟通进行记录，以备追责和取证 所需。

6.9保密或敏感信息处理

信息安全事件管理计划可能包含敏感信息，参与处理事件和脆弱性的人员可能被要求处理好敏感 信息。组织宜确保建立必要的过程和能力，在需要时匿名化敏感信息（例如，当离开IRT的保护域时）。 如果信息安全事态/事件/脆弱性经由一般问题管理系统记录，难以限制谁有权访问它，敏感的细节可被 略去。如果IRT仍要访问略去的信息，那么IRT将维持自已的信息安全数据库 如在本部分中其他处所概述，组织还宜确保信息安全事件管理计划规定了控制与外部各方沟通事 件和脆弱性的条款，包括媒体、商业伙伴、客户、执法机构和公众

注：第7章对应于GB/T20985.12017的5.2d)， 建立IRT的目标是为组织提供信息安全事件的评估、响应和经验总结，以及必要的协调、管理、反 馈和沟通的适当能力。IRT有助于减少物理上和财务上的损失，以及有时与信息安全事件相关的组织 声誉损害。 IRT的结构可能依据组织的规模、工作人员和行业类型的不同而不同。

IRT的职责可能还包括如下监控和管理活动： 集成管理和监控：24小时×365天监控目标、主动监控和响应事件、日志管理； 报告管理：定期安全报告、安全补丁管理、事件报告； 行政管理：各种系统环境的策略管理，包括任务控制和IRT操作； 技术管理：网络、系统、应用、内容和服务的安全管理； 系统运行和管理：系统容量、性能、安全配置和环境配置管理。 注：上述某些职责可与IRT之外的其他组织单位共有或由其执行。

7.3事件响应小组人员

表1IRT职员角色与任务示例

GB/T20985.22020

表2IRT职员岗位示例

GB/T20985.22020

息，以及他们的角色和权力分别是什么。 法律部门代表。这些代表可为责任和合规同题提供指导，识别在事件过程中服务水平协议 （SLA)受到影响没有，针对隐私权和公民自由权提供指导，以确保调查和响应措施不侵犯员工 的权利。 人力资源代表。他们将需要参与制定相关策略和规程，以辞退被发现从事未授权或非法计算 机活动的员工。 公共关系代表。他们宜做好准备处理任何媒体咨询，并帮助开发信息披露策略和实践。 现有安全小组。包括物理安全。IRT需要与这些小组交换有关计算机事件的信息，并可能与 他们分担责任来解决涉及计算机或数据窃取的问题。 审计和风险管理专家。他们可以帮助开发威胁度量，并识别对象集系统的风险 任何执法联络员或调查员。他们要了解与执法机构宜如何合作，何时联系，以及谁来做调查和 取证分析。 对象集总代表。他们可以深人其需要和要求。 IRT宜有责任确保事件得到解决。为此，IRT管理者和其成员宜有权采取被认为对响应信息安全 适合的必要措施。然而，可能对整体组织有不利影响（无论是经济上还是在声誉方面）的措施，宜得 高管理层的同意。出于这个原因，信息安全事件管理的策略和计划有必要细化RT管理者尚哪个 权威机构报告严重信息安全事件。权威机构，就其本身而言，宜承诺其对IRT成员可用，并及时提 导。 与媒体打交道的规程和责任也宜由最高管理层同意并形成文件。这些规程指定组织内谁处理媒体 1，以及如何与媒体接触。所有IRT成员宜学会如何根据媒体策略应对媒体提问

8.3与外部利益相关方的关系

GB/T20985.22020

GB/T20985.22020

组织可从安装介质创建一个标准的基准镜像，并将该镜像作为创建系统的十净基础。使用这种镜 像而非原有介质经常是优选的，因为镜像已经过了修补、强化、测试等。 被攻击的信息系统、服务或网络可能无法正常工作。因此，响应信息安全事件的必要技术手段（软 件和硬件)宜尽可能地不依赖于组织的“主流”系统、服务和（或）网络来操作，并与评估的风险相适。所 有的技术手段宜慎重选择、正确实施和定期测试（包括所制作备份的测试）。如果可能的话，技术手段宜 完全独立。 注2：本条所述技术不包括用于直接发现信息安全事件和人侵，并自动通知相关人员的技术手段。这种技术手段 在ISO/IEC27039中予以描述

这种机制可包括以下方面： 内部信息安全审核机制，用来评估安全级别并跟踪脆弱的系统； b) 脆弱性管理（包括安全更新和脆弱系统的安全修补）； C 技术手段的监视，以发现新型威胁和攻击； d) 入侵检测系统（参见ISO/IEC27039）； e) 网络安全设备、保护手段和监控工具［参见ISO/IEC27033（所有部分）」； f) 防恶意代码软件； g) 审核日志记录和日志监控软件

制可包括运行支持团队的文件化职责和操作规程

10建立信息安全事件意识和培训

注：第10章对应于GB/T20985.1—2017的5.2g）。 信息安全事件管理不仅涉及技术手段，也涉及人。因此，宜得到组织内具备适当的信息安全意识利 受训人员的支持（在GB/T22080一2016的7.2中也被指出过）。 所有组织人员的意识和参与对一个结构化的信息安全事件管理方法的成功至关重要。用户宜意识 到他们及他们的部门如何才能从结构化的信息安全事件管理方法中受益。此外，信息安全事件管理的 结构化方法的效率和质量取决于许多因素，包括通知事件利益相关者的义务、通知的质量、易用性、速度 和培训。其中有些因素与用户是否意识到信息安全事件管理的价值并积极报告事件有关。 组织宜积极推进信息安全事件管理成为企业级信息安全意识和培训计划的一部分。相关时，意识 培训计划及相关材料宜提供给所有人员，包括新员工、第三方用户和承包商。必要时，宜针对PoC、IR工 成员、信息安全人员和特定管理人员提供特定的培训计划。直接参与事件管理的不同人群可能需要不 司级别的培训，这取决于他们与信息安全事件管理计划互动的类型、频率和关键性， 组织的意识教育宜包括以下方面： 信息安全事件管理结构化方法给组织和个人带来的益处； b） 信息安全事件管理计划是如何工作的，包括其范围、安全事态、事件和脆弱性管理工作流程； ） 如何报告信息安全事态、事件和脆弱性： d 信息安全数据库中保存的事件信息及其输出； e） 对相关事件源的保密控制； ） 规划的服务水平协议； 8 在哪些情况下对起源提供建议的结果告知；

h）非披露协议规定的任何限制； i 信息安全事件管理组织的权威性和其报告路径； 根据信息安全事件管理计划，由谁接收报告以及报告是如何分发的。 在某些情况下，组织可能期望在其他培训计划（例如，面向个人的计划或总的企业级安全意识计划） 中包含信息安全事件管理特有的意识细节。这种意识方法能为特定的人群带来价值，进而提高培训计 划的效果和效率。 信息安全事件管理计划开始运行之前，组织宜确保所有相关人员都熟悉涉及信息安全事件发现和 报告的规程，并且有专门的选定人员对后续活动非常熟悉。随后宜是定期的意识教育和培训课程。培 川宜为PoC和IRT成员以及信息安全人员和特定管理人员提供特定演练和测试的支持。 此外，宜通过建立和运行由信息安全事件管理人员支持的“热线”，对意识和培训计划进行补充，以 尽量减少报告和处理信息安全事态、事件和脆弱性的延误

11测试信息安全事件管理计划

注：第11章对应于 GB/T 20985.1—2017的 5.2 h)。 组织宜安排计划来定期检查和测试信息安全事件管理过程和规程，以突显可能在信息安全事态、事 件和脆弱性管理过程中出现的潜在缺陷和问题。宜组织定期测试来检查过程/规程，并验证IRT响应。 这些模拟场景可从基于现实攻击、失败或故障的严重、复杂事件到桌面演练。模拟的形式将取决于演练 的预定目标。测试不仅涉及IRT，也涉及参与信息安全事件管理的某些或所有的内部和外部组织。组 织宜确保对测试评审结果导致的任何变更进行了充分的检查，包括进一步的测试，然后再将变更的计划 付诸实施。 当进行演练时，非常重要的是，所有参与者都意识到他们不是在处理真正的攻击。建立和保持这种 差异是重要的，以防止人们触发可能对组织产生更大影响的行动（如启动建筑疏散）。这个规则只能在 特定情况下可忽视，即当演练在严格控制的环境中进行时，以防止演练的影响波及运行环境。 主要演练类型如下： 基于讨论的； 一 桌面推演的； 现场实操的； 上述组合的。 采用哪种演练类型取决于想要实现的目标以及可用的时间和资源。 每次演练经历以下阶段： 一规划和准备； 一执行； 听取汇报和事后分析。 演练的规划和准备是基于当前的事件响应计划以及对未来威胁和趋势的设想。将事后分析的结果 作为输入，以改进事件响应计划

11.2.1定义演练的目标

一般而言，演练可有以下三个主要目标： a）确认：确认事件响应计划并识别潜在的遗漏：

GB/T20985.22020

b）培训：让相关人员练习并顺利承担其角色； c）测试：测试当前现有过程和规程。 一次演练通常有多个目标。演练目标很大程度上取决于组织准备的整体状态。当组织在准备新的 事件响应计划或更新现有计划时，可通过演练确认计划。计划出台并实施后，组织将通过演练对人员进 行培训。现有的过程和规程确立之后，需要定期测试以确保其持续的有效性。 表3给出了采用哪种类型演练实现哪些目的的指南

表3演练目标映射到演练类型

11.2.2定义演练的范围

当进行演练时，非常重要的是，让所有参与者都知道，所处理的场景只是一个演练，而不是真实的事 态。如果参与者无法分辨模拟事态与真实事态，他们的行动有可能导致后果扩大或将演练以外的人员 卷人。最坏的情况，可能导致公众恐慌。 成功的演练需要完成一些任务。下面的列表仅提供主要任务的一般概述： a）在开始的时候，向参与者简要说明演练目标； b）确保所有参与者的安全（当有志愿者参与现场演练时尤为重要）； 确保所有参与者都知道自己的角色； d） 确保有足够数量的人员在整个演练过程中引导参与者； e 宜为演练过程中的讨论分配足够的时间，但也不能因过量而扰乱演练； f 演练后留出足够的时间和资源来听取所有参与者的情况汇报，并收集他们的反馈（注意，反馈 包括两方面：演练的目的是什么和演练本身是如何进行的）； 创建并分发演练报告给利益相关者

11.3事件响应能力监测

11.3.1实施事件响应能力监测计划

事件响应能力不仅包括IRT的能力 本的能力。虽然大多数的事件响应能力将集成在 IRT中，但有可能缺少某些狭窄领域的专业知 于这个原因，IRT可能聘用能够填补这一空白的个人或其他团队

11.3.2事件响应能力监测的度量和治理

IRT的能力宜足以应对组织面临的当前威胁。随着威胁的变化，团队能力也在改变以使组织能够 有效地响应新的威胁。同时，当威胁或者永久地被减少到可以忽略的程度，或者风险的根本原因被移除 时，某些功能可能就不再需要。另外，尽管IRT宜是专业知识的焦点中心和事件处理能力的主要承担 者，但并不要求其拥有所有的知识和能力。很少使用的专业知识和能力可能分散在组织内部或外部的 不同个人或团体当中。其主要原因是成本效益 针对这种能力分散和不断变化的需求，组织宜建立一个能反映组织当前能力的注册表。以下未穷 举列表说明这个注册表可能包含哪些信息： a） 什么能力对组织可用； 谁拥有它们； ） 它们是组织内部的还是外部的； 怎样聘用能力具备者； e） 能力在多大程度保持不过时（或其最后使用过后的代理措施）； f 在过去一段时间间隔中，能力被需求的频繁程度 然后，将这些信息用于IRT能力开发的规划中。很少使用的能力可能会任其消失，经常使用但 IR工尚不具备的能力可以得到.依此类推

注：第12章对应于GB/T20985.12017的5.6。 一且结束一个信息安全事件，重要的是，组织在处理完信息安全事件后宜迅速找出和总结经验，并 确保所得结论付诸行动。此外，还可从报告的信息安全脆弱性的评估和解决方案中总结经验。经验总 结可能产生以下一个或多个结果： a 新的或变更的信息安全控制措施要求，可能是技术的或非技术的（包括物理的）控制措施。依 靠经验总结，这些控制措施可能包括需要快速更新和交付信息安全意识教育材料（为用户及其 他人员），以及快速修订和发布安全指南和（或）标准。 b） 新的或变更的威胁和脆弱性信息，从而导致组织现有的信息安全风险评估和管理评审结果的 改变。 C 信息安全事件管理计划及其过程、规程、报告形式和（或）组织结构，以及信息安全数据库的 变更。

组织不宜只看单一的信息安全事件或脆弱性，宜检查其趋势/模式，这本身可能有助于识别是否 变更控制或方法。IT信息安全事件之后，进行信息安全测试，特别是脆弱性评估，也是一种明智的 因此，组织宜定期分析信息安全数据库中的数据，来做以下方面的事情：

GB/T20985.22020

1并实施信息安全控制措

在解决了一个或多个信息安全事件或脆弱性后的评审过程中，可能识别出所需要的新的或变更的 空制措施。立即实现这些建议和相关的控制要求可能在经济上或操作上是不可行的，在这种情况下，它 门宜作为组织的长期目标。例如，迁移到更安全、更强大的防火墙，可能在短期内经济上不可行，但需要 纳人组织的长期信息安全目标。 按照商定的建议，组织宜实施更新和（或）新的控制措施。这可能是技术的（或物理的）控制措施，可 能需要安全意识简报材料的快速更新和分发（为用户，以及其他人员），以及安全指南和（或）标准的快速 修订和发行。此外，组织的信息系统、服务和（或）网络宜定期进行脆弱性评估，以帮助识别脆弱性并提 共持续的系统/服务/网络强化的过程。 此外，尽管对信息安全相关规程和文档的评审可以在信息安全事件善后或脆弱性解决后立即进行， 这更像是所需的后续响应。信息安全事件或脆弱性得到解决后，如果相关，组织宜更新其信息安全策略 和规程，以考虑在事件管理过程中收集的信息和识别的任何问题。同组织信息安全管理者一道，共同确 呆这些信息安全策略和规程的更新在整个组织中得到传播，宜是IRT的长期目标， 在经验总结阶段可能识别到其他改进，例如，信息安全策略、标准和规程的更改，IT硬件和软件配 置的更改。组织宜确保这些得到执行。 经验总结的一种特殊情况是信息安全事件管理计划的非标准应用的分析。这种情况发生在报告过 程被用于报告像IT问题（例如计算机或应用程序故障）、组织内部的不当行为（揭发者）这类事态或其 他与信息安全不相关的事态。这种使用实例的增加能说明组织其他方面中的问题，或者缺少对报告过 程的正确目的和使用的培训。这一分析的潜在结果可能会向最高管理层突显其他非安全相关的过程或 组织某些方面中的不足

12.4识别并实施信息安全风险评估和管理评审结果的改进

根据信息安全事件的严重 和潜在影响）， 言息安全风险评估和管理评审结果的 威胁和脆弱性。作为信息安全风险评估 和管理评审更新完成的后续行动，可能有必要引 更的或新的控制措施（见11.3）

2.5识别并实施信息安全事件管理计划的改进

作为后事件解决方案的一部分，IRT管理者或被任命者宜复查所有已经发生的一切以评估并进

量化对信息安全事件整体响应的有效性。 这种分析旨在确定哪部分信息安全事件管理计划是成功的，以及识别需要的任何改进。 后响应分析的一个重要方面是将信息和知识反馈回信息安全事件管理计划。如果事件非常严重， 组织宜确保当事件解决后人们还记忆犹新的时候，立即安排一次所有相关方参与的会议。在这种会议 上考虑的因素包括以下方面： a） 信息安全事件管理计划中给出的规程是否按预期运行； b 有什么规程或方法帮助了事件发现； 有什么规程或工具在响应过程中具有帮助作用； d） 有什么规程在事件被识别后帮助了信息系统恢复； e 在事件发现、报告和响应过程中，与所有相关方的事件沟通是否有效。 会议结果宜形成文件。组织宜确保被识别的信息安全事件管理计划改进区域得到评审暖通标准规范范本，并且得到 论证的改变纳入计划文档的更新。对信息安全事件管理过程、规程和报告表单的改变，在生效宜得到彻 底检查和测试

12.6事件响应小组评价

相比于经验总结，评价是对IRT的有效性进行定期和更全面的评估。一旦IRT投人运行，团队和 其管理人员宜评价团队的有效性以及它满足对象集需要的情况。评价可以定期进行或评价的某些方面 也可以集成到运行和经验总结过程中。 评价活动的例子包括以下方面： 确定哪些活动良好，哪些不是； 适时修订策略并设计和实施计划； 评价已生效的能力和服务； 检查IRT在与对象集及任何外部合作伙伴和协作方合作方面做的怎样。 更具体的反馈机制的例子包括以下方面： 基准测试； 与对象集及外部合作伙伴和协作者的代表的一般性讨论或访谈； 定期对对象集成员进行调查； 创建一套准则或质量参数，供审计或第三方评价IRT时使用。 收集性能度量也能帮助评价IRT的成功。可能的度量可包括但不限于以下方面： 事件统计，诸如不同类型事件的数量、响应时间、事件的生存时间、事件的解决方案或处置； 向对象集报告的有关计算机安全问题或当前活动的信息量； 当下的预防性技术和安全实践。 任何改变和改进宜基于评价的结果

有时事件分析的结果，可能与事件管理不太相关，但可以帮助组织理顺运行或其他改进。下面的列 给出了这种改进示例，并未穷举或排他： 过长时间或不经常产生的补救措施可导致对软件或硬件厂商选择准则的改进； 处理事件过程中人员配备不足可通过改进工作调度解决； 知识的缺乏可以反映教育方面存在的差距

GB/T20985.22020

提供足够的数据保护和个人信息的隐私保护。在那些有特定法律涵盖数据保密性和完整性的 国家中，对于个人数据的控制常常受到限制。由于信息安全事件通常需要归因到个人，个人特 性的信息可能因此需要被相应地记录和管理。因此，结构化的信息安全事件管理方法需要考 虑适当的隐私保护。这可能包括以下方面： 1）如果实际情况可行，访问被调查人的个人数据的人员不宜与其存在私交； 2）在允许访问个人数据之前，宜签署保密协议； 3）信息宜仅用于其被获取的明示目的，即信息安全事件调查。 b）维护适当的记录保存。一些国家的法律，要求公司维护其活动的适当记录，在每年组织的审计 过程中进行审查。政府机构也有类似的要求。在某些国家，要求组织报告或生成执法用的档 案（例如，当涉及对政府敏感系统的严重犯罪或渗透时）。 控制措施到位以确保实现商业合同义务。当对信息安全事件管理服务提出要求时，例如，满足 所需的响应时间，组织宜确保提供适当的信息安全来保证在任何情况下满足这种义务要求。 与此相关，如果组织寻求外部方支持并签署合同，例如外部IRT，那么宜确保在与外部方签署 的合同中涵盖了所有要求，包括响应时间。 处理与策略和规程相关的法律问题。与信息安全事件管理方案相关的策略和规程宜就潜在的 法律法规问题得到检查，例如，是否有关于对那些引起信息安全事件的事项采取惩戒和（或)法 律诉讼的声明。在一些国家，解雇人员并不是一件容易的事情。 检查免责声明的法律效力。信息事件管理团队和任何外部支持人员所采取行动的免责声明的 法律效力宜得到检查。 与外部支持人员的合同涵盖所有要求的方面。与任何外部支持人员的合同，例如来自外部 IRT人员，在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。 保密协议可强制执行。信息安全事件管理团队成员在人职和离职时，可被要求签署保密协议， 在一些国家，已签署的保密协议可能在法律上无效，宜对此予以核实。 h 满足执法的要求。执法机构可能会合法地请求来自信息安全事件管理方案的信息，与其相关 的问题需要澄清。可能的情况是，宜明确按照法律规定的最低水平要求，来记录事件和保持记 录存档的时长。 明确责任。需要明确潜在的责任和所需的相关控制措施是否到位。可能具有相关责任问题的 事态示例如下： 1）如果一个事件可能影响到其他组织（例如，披露共享信息，但没有及时通知，导致其他组织 受到不利影响）。 2） 如果在产品中发现新的脆弱性，但供应商未得到通知，随后发生了重大相关事件，给一个 或多个其他组织带来重大影响。 3 没有编制报告，但在某些国家，在涉及对政府敏感系统或关键国家基础设施组成部分的严 重犯罪或渗透时，要求组织报告或生成执法用的档案。 披露的信息似乎表明某人或组织可能被卷入了攻击。这可能会损害涉案个人或组织的声 誉和业务。 披露的信息表明可能是特定软件的问题，但后来发现并非如此

满足具体法规要求。当有具体法规要求时，宜将事件报告给指定机构，例如，在许多国家对核 电工业、电信公司和互联网服务提供商有那样的要求。 k 能够成功起诉或执行内部纪律规程。适当的信息安全控制措施宜到位，包括可证明防篡改的 审计跟踪建筑CAD图纸，以此能够成功地对“攻击者”起诉或执行内部纪律规程，无论攻击是技术的还是物理 的。为支持这项工作，需要以在适当的国家法院或其他仲裁机构上可接受的方式收集证据。 从而可以表明： 1）记录是完整的且没有以任何方式被篡改； 2）电子证据副本可证明与原件相同； 3） 任何收集证据的IT系统在证据被收集时是正常运行的。 与监控技术相关的法律问题得到解决。在有关国家立法的语境下，使用监控技术的影响需要 解决。各种技术的合法性随着国家不同而不同。例如，在一些国家，有必要让人们意识到在发 生监控活动，包括通过监视技术。需要考虑的因素包括谁/什么正在被监控，它们/它如何被监 控，以及监控什么时候正在发生。还宜指出，在IDS语境下的监控/监视在ISO/IEC27039中 做了具体讨论 m） 可接受的使用策略得到定义和沟通。可接受的实践/使用宜得到定义，形成文件，并与所有预 期用户沟通。例如，当加人一个组织或获得信息系统的访问权限时，宜告知用户可接受的使用 策略，并要求提供书面确认，以表明他们理解和接受这一策略

GB/T 20985.22020

（资料性附录） 信息安全事态、事件和脆弱性报告及表单示例