ISO/IEC 27035-2:2023 — 事件管理 — 规划与准备

准备是有效事件管理的基石。ISO/IEC 27035-2:2023 为信息安全事件的规划和准备
提供了全面指南。该标准认识到，在政策制定、团队建设、工具选择和培训等方面
进行了充分准备的组织，在事件发生时能显著降低影响和成本。

规划（战略性）和准备（战术性）之间的区别至关重要：规划定义了要做什么，
而准备确保组织在事件发生时具备执行计划的运营能力。

建立事件管理政策

标准要求组织制定、记录并传达事件管理政策，该政策应反映组织的风险偏好、
法律义务和业务目标。政策应定义事件管理活动的范围、角色和职责、升级标准
以及与其他管理系统的接口。政策必须由最高管理层批准，并定期审查以跟上
不断演变的威胁环境。

政策的关键要素包括：按严重性和影响对事件进行分类的方案；检测、响应和
恢复的服务水平目标；法证证据的数据保留和监管链要求；以及内部和外部
利益相关者的沟通协议。标准强调政策应为活文档，根据事件经验教训以及
组织或威胁环境的变化进行修订。

政策要素	说明	审查频率
事件分类	基于影响的层级（低/中/高/严重）	每年或重大事件后
角色与职责	事件经理、技术负责人、通信负责人、法务	每季度或团队变动后
升级标准	触发高级管理层或外部方介入的条件	每半年
法证要求	证据处理、监管链、法律保留	每年或法规变更时
沟通协议	内部通知、客户披露、监管报告	每半年

制定了但未经测试的政策仅仅是理论练习。定期的桌面推演和模拟演练对于
验证政策能否转化为有效行动至关重要。

组建和装备事件响应团队

ISO/IEC 27035-2 提供了关于建立事件响应团队的详细指南，无论是作为
专门的计算机安全事件响应团队还是从现有人员中抽调组成的虚拟团队。
标准涉及团队结构、人员配置水平、技能要求和工具选择。关键角色包括
事件经理（总体协调）、技术分析师（取证、恶意软件分析、日志分析）、
通信负责人（利益相关者通知）和法务顾问（法规遵从、特权考虑）。

在工具方面，标准建议采用分层方法：检测工具（SIEM、EDR、NIDS）、
分析工具（取证工作站、数据包捕获、恶意软件沙箱）、协作工具（安全
事件跟踪平台、加密通信渠道）和恢复工具（备份系统、配置管理、补丁
部署）。标准强调工具必须经过测试和维护，而不是仅仅采购后就置之不理。

根据已发表的准备成熟度研究，每季度进行桌面推演、每年进行全面模拟演练
的组织，检测速度提升 50%，事件升级率显著降低。

制定事件响应计划和程序

标准要求制定详细的、针对特定场景的响应计划，涵盖常见事件类型：
恶意软件爆发、未授权访问、数据泄露、拒绝服务、内部威胁和供应链入侵。
每个计划应包括检测、遏制、根除、恢复和事件后活动的逐步程序。
计划必须文档化、可访问（包括离线访问）并定期更新。

标准强调的一个常被忽视的方面是计划维护的重要性。
技术环境在变化、人员更替、威胁行为者在演进其战术。ISO/IEC 27035-2
建议至少每年进行一次正式审查，并在 IT 基础设施、威胁态势或监管要求
发生重大变化时触发临时审查。事件计划的版本控制和变更管理对于确保
所有团队成员都使用当前批准的文档至关重要。

常见问题

问：CSIRT 和 SOC 有什么区别？
答：安全运营中心专注于持续监控和实时检测安全事件。CSIRT 专注于管理
需要结构化响应的事件。许多组织同时运营两者，SOC 作为第一道检测线，
CSIRT 处理升级和复杂事件协调。

问：事件响应计划应多久测试一次？
答：ISO/IEC 27035-2 建议多层次测试：每季度桌面推演、每六个月功能演练
（测试特定程序）、每年全面模拟演练。计划还应在任何重大事件或基础设施
变更后进行审查。

问：事件响应团队成员需要什么培训？
答：成员应接受事件管理程序、工具和沟通协议的初始培训，之后每 6-12 个月
进行持续培训。应根据角色特定需求提供专业培训（取证、云事件响应、
恶意软件分析）。标准还建议进行交叉培训以避免单点故障。

问：27035-2 如何处理云和托管服务事件？
答：2023 版包含针对涉及云服务提供商和托管安全服务提供商的规划特定指南。
组织应与提供商建立明确的角色和职责，定义升级路径，并通过联合演练测试
协调程序。

建立事件管理政策

组建和装备事件响应团队

制定事件响应计划和程序

常见问题

发表回复取消回复

Trending now