ISO/IEC 27035-1:2023 — 事件管理

信息安全事件在现代组织中已是不可避免的现实。网络威胁的复杂化、攻击面的扩展以及
对数字基础设施日益增长的依赖，要求采用结构化的、基于原则的方法来管理安全事件。
ISO/IEC 27035-1:2023 为信息安全事件管理确立了基本原则，为组织提供了检测、报告、
评估、响应安全事件并从中学习的框架。

该标准于 2023 年更新，以反映不断演变的威胁环境，包括勒索软件、供应链攻击和
基于云的事件。采用这些原则的组织将在韧性和合规性方面获得战略优势。

事件管理的核心原则

该标准定义了支撑有效事件管理能力的若干基本原则。首先，高级管理层承诺
至关重要——没有领导层的可见支持、充足的资源分配和明确的责任划分，事件管理就无法成功。
其次，标准强调基于风险的方法：并非所有事件都需要相同级别的响应，
组织必须根据业务影响、法律义务和利益相关者期望来确定优先级。

第三，ISO/IEC 27035-1 强调持续改进的重要性。每个事件，
无论严重程度如何，都提供了学习机会。事件后评审、趋势分析以及向信息安全管理体系
的反馈循环是关键组成部分。第四，标准倡导与更广泛的管理流程整合，
包括业务连续性管理、风险管理和 IT 服务管理。事件管理不应孤立运作。

原则	说明	实施示例
管理层承诺	领导层的支持与资源保障	事件治理执行指导委员会
基于风险的方法	按业务影响确定事件优先级	将事件类型映射到响应层级的分诊矩阵
持续改进	从事件中学习以防止再次发生	季度事件趋势报告与流程更新
管理整合	与信息安全管理体系、业务连续性管理体系等流程对齐	安全与IT团队共享事件分类法

根据行业基准数据，将这些原则融入运营体系的组织，平均响应时间缩短 40-60%，
事件相关成本也显著降低。

事件管理生命周期

ISO/IEC 27035-1 引入了一个五阶段的事件管理生命周期：
规划和准备、检测和报告、评估和决策、响应、学习。
该生命周期是迭代的，”学习”阶段的成果反馈到”规划和准备”阶段，
推动持续改进。标准强调准备是最关键的阶段——在事件发生前投入规划、
培训和工具建设的组织，更有可能有效控制损害。

检测和报告阶段包括为用户、自动化安全工具和外部威胁情报源建立清晰的渠道
以报告可疑活动。评估和决策需要结构化的分诊流程，评估技术影响、业务关键性
以及法律或监管影响。响应阶段涵盖遏制、根除和恢复行动，而学习阶段确保
从事件中获取的知识被捕获、分析并应用于改进未来的准备工作。

一个常见的误区是将生命周期视为线性序列。实际上，事件管理是高度动态的——
遏制可能在全面评估完成之前就已开始，而经验教训可能在事件仍在进行时就
触发计划的立即更新。

将事件管理整合到组织治理中

2023 版比前版更加强调治理整合。事件管理必须与组织战略、法律和监管义务
以及利益相关者期望保持一致。标准建议建立事件管理政策，
定义整个计划的范围、目标和职责。该政策应得到最高管理层的批准，
并传达给整个组织。

此外，标准引入了关于指标和绩效测量的指南。
平均检测时间、平均响应时间和事件关闭率等关键绩效指标提供了事件管理
计划有效性的可见性。向管理层和利益相关者定期报告有助于确保持续的支持
和资源分配。强烈建议将事件管理指标整合到更广泛的安全治理仪表板中，
以证明尽职合规。

常见问题

问：ISO/IEC 27035-1 与 ISO/IEC 27001 有何关系？
答：ISO/IEC 27035-1 为 ISO/IEC 27001 附件 A 中的事件管理相关控制提供了
具体实施指南。获得 ISO/IEC 27001 认证的组织可以使用 27035-1 作为
事件管理相关控制的最佳实践实施框架。

问：该标准适用于多大规模的组织？
答：ISO/IEC 27035-1 中的原则是可扩展的。中小型组织可以采用简化版的
生命周期，而大型企业可以构建包含专用 CSIRT、复杂工具和多层级响应
结构的全面计划。

问：ISO/IEC 27035-1 可以认证吗？
答：目前，ISO/IEC 27035-1 是指南性标准，并非可认证规范。但是，
组织可以将其用作内部审计的基准，或在客户或监管评估中展示与公认
最佳实践的一致性。

问：2023 版的主要变化有哪些？
答：2023 版扩展了关于供应链事件协调、云和托管服务提供商事件、
勒索软件响应原则的指南，并且比早期版本更加强调治理整合和绩效测量。

ISO/IEC 27035-1:2023 — 事件管理 — 原则

事件管理的核心原则

事件管理生命周期

将事件管理整合到组织治理中

常见问题

发表回复取消回复

事件管理的核心原则

事件管理生命周期

将事件管理整合到组织治理中

常见问题

发表回复取消回复

Trending now