Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27035-4:2020 — 事件管理 — 协调
多团队和跨组织事件管理的协调框架
在复杂事件中——特别是那些影响多个业务部门、多个组织或关键国家基础设施的
事件——有效的协调与技术响应能力同等重要。ISO/IEC 27035-4:2020 为跨内部
团队、外部组织、监管机构和其他利益相关者的事件管理活动协调提供了框架。
2020 版反映了从涉及供应链入侵、跨境数据泄露和协调勒索软件活动的大规模
事件中汲取的教训,在这些事件中,有效协调直接决定了事件响应工作的成效。
事件中汲取的教训,在这些事件中,有效协调直接决定了事件响应工作的成效。
多团队事件中的协调作用
现代事件很少尊重组织或管辖边界。一次数据泄露可能涉及 IT 运维、法务、
合规、通信、人力资源、物理安全和外部合作伙伴。ISO/IEC 27035-4 将协调
定义为对这些实体之间的相互依赖关系进行结构化管理,以实现统一有效的响应。
标准识别了三个协调维度:纵向(组织内部,从技术团队到
高管层)、横向(组织内不同职能部门之间)和
外部(与客户、供应商、监管机构、执法部门和行业特定机构)。
标准建议为大规模事件建立协调中心或事件指挥结构。
该中心作为信息融合、决策制定、资源分配和利益相关者沟通的中枢点。
明确的角色定义——谁拥有决策权、谁负责特定的协调活动以及团队之间的
交接如何进行——对于避免高压情况下的混乱和重复工作至关重要。
| 协调维度 | 利益相关者 | 关键协调活动 |
|---|---|---|
| 纵向 | 高管、董事会、管理层、技术团队 | 情况报告、资源批准、战略决策 |
| 横向 | IT、法务、人力资源、公关、合规、安保 | 跨职能影响评估、联合决策 |
| 外部 | 客户、监管机构、执法部门、供应商 | 监管通知、信息共享、联合响应 |
根据 Ponemon 研究所的数据泄露成本研究,具有成熟协调能力的组织遏制
重大事件的速度快 40%,总事件成本低 30%。
重大事件的速度快 40%,总事件成本低 30%。
在建立协调机制时,标准建议重点关注以下几个关键成功因素:首先是
统一的指挥架构——明确规定谁拥有最终决策权,避免多头
指挥造成的混乱。其次是标准化的信息格式——使用统一的
事件报告模板、严重性评级和状态更新格式,确保所有参与方对情况有一致的
理解。第三是资源管理和调度——建立资源池,对内部和外部
可用资源进行统一登记和调度,避免资源争用或重复投入。
标准还指出,协调不仅仅是危机期间的活动。日常的协调机制建设同样重要,
包括定期的联合培训、跨团队演练以及协调程序的周期性评审和更新。只有通过
持续的投资和实践,组织才能建立起真正有效的协调能力。
通信协议与信息共享
信息是协调事件响应的命脉。标准提供了关于建立通信协议的详细指南,
确保正确的信息在正确的时间传递给正确的人。关键要素包括:
信息分类(谁需要知道什么)、通信渠道
(主要和备用渠道,考虑到事件期间的安全性和可用性)、
通信模板(针对不同受众的预批准通知格式)和
升级触发器(需要更广泛沟通的特定条件)。
标准还涉及与外部实体的信息共享。可信的信息共享社区在改善集体防御
方面发挥着重要作用。ISO/IEC 27035-4 建议组织在事件发生前建立信息
共享关系,包括法律协议、技术接口和操作协议。
最常见的协调失败之一是由于依赖单一渠道而导致事件期间的通信中断。
标准要求使用多样化、有弹性的通信渠道并定期测试。
标准要求使用多样化、有弹性的通信渠道并定期测试。
与外部利益相关者的协调
外部协调不仅限于事件通知,还包括响应期间的积极协作。标准提供了与以下
各方协调的指南:执法部门(为起诉保全证据、了解管辖权
要求、管理公开披露)、监管机构(满足泄露通知时间表、
提供所需信息)、受影响的客户和合作伙伴(透明沟通、
补救支持)以及供应商和服务提供商(激活合同中的事件
响应条款、协调联合响应活动)。
标准强调的一个关键要素是需要预先建立关系。在活跃
事件期间尝试建立协调协议远不如拥有预先存在的协议、联系人和已测试
程序有效。标准建议组织维护关键外部联系人的最新名录,包括备用联系人,
并定期验证联系信息和协调程序。
常见问题
问:跨境事件中的协调有何不同?
答:跨境事件涉及额外的复杂性:多个可能冲突的监管制度、语言和文化障碍、
时区挑战以及不同的执法管辖权。标准建议聘请具有多司法管辖区专业知识
的法律顾问,并为组织运营的每个区域建立协调协议。
答:跨境事件涉及额外的复杂性:多个可能冲突的监管制度、语言和文化障碍、
时区挑战以及不同的执法管辖权。标准建议聘请具有多司法管辖区专业知识
的法律顾问,并为组织运营的每个区域建立协调协议。
问:ISO 27035-4 与 NIST 事件响应框架的关系是什么?
答:两个框架共享共同的协调概念。ISO/IEC 27035-4 提供了更详细的协调
特定方面指南,而 NIST SP 800-61 更侧重于技术响应程序。组织通常互补
使用两者。
答:两个框架共享共同的协调概念。ISO/IEC 27035-4 提供了更详细的协调
特定方面指南,而 NIST SP 800-61 更侧重于技术响应程序。组织通常互补
使用两者。
问:通信基础设施故障期间应如何处理协调?
答:标准要求规划通信渠道故障。组织应维护带外通信方法并定期测试。
预定义的集合程序和决策授权委派确保在正常通信不可用时保持连续性。
答:标准要求规划通信渠道故障。组织应维护带外通信方法并定期测试。
预定义的集合程序和决策授权委派确保在正常通信不可用时保持连续性。
问:哪些指标可以衡量协调有效性?
答:关键协调指标包括:建立协调响应的时间、团队之间的信息共享延迟、
事件后评审中识别的协调差距数量、利益相关者对沟通质量的满意度以及
监管通知时间表的合规性。
答:关键协调指标包括:建立协调响应的时间、团队之间的信息共享延迟、
事件后评审中识别的协调差距数量、利益相关者对沟通质量的满意度以及
监管通知时间表的合规性。
