安全事故调查报告作为处罚证据

9.3.13　信息安全事故管理

13.1　报告信息安全事故和弱点

目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。

应该准备好正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点，所有的员工、合同方和第三方用户都应该知晓这套报告程序。他们需要尽可能快地将信息安全事件和弱点报告给指定的联系方。

13.1.1　报告信息安全事件

控制

应通过适当的管理途径尽快报告信息安全事件。

实施指南

应该建立正常的信息安全事件报告、事故应答和分类机制，在接到信息安全事件报告后着手采取措施。应该建立信息安全事件报告联系方，确保整个机构都知道这个联系方，这个联系方容易得到，并能做当及时的应答。

所有的员工、合同方和第三方用户都应该知晓他们有责任尽可能快地报告信息安全事件。他们应该知道报告信息安全事件的程序和联系方。报告机制应该包括：

a) 采取适当的反馈机制，以确保在信息安全事件处理完成后，能够将处理结果通知给事件报告方；

b) 信息安全事件的报告形式应该支持报告行为，帮助报告者去记下信息安全事件中的所有行为；

c) 信息安全事件发生后应该采取正确的行为，即

　　1) 立即记录下所有重要的细节（如冲突类型，发生的故障，屏幕上显示的消息，异常行为）；

　　2)自己不要采取任何行动，只能立即向联系方报告；

d) 参考已建立的正常约束机制，来处理员工、合同方或第三方用户中的违反安全行为。在高风险环境下，可以提供强制报警，由此一个人在强制下可以指出那样的问题。对强制报警的应答机制应能反映那样的报警所指明的高风险情况。

其他信息

信息安全事件和事故实例如下：

a) 服务、器材和设备的丢失，

b) 系统故障或超载，

c) 人为错误，

d) 策略或指南的冲突，

e) 违背物理安全设置，

f) 非控的系统改变，

g) 软件或硬件故障，

h) 非法访问。

从正当机密性方面考虑，信息安全事故可以用来对用户进行意识训练（见8.2.2），如可能发生什么样的事故，对那样的事故应该怎样应对，怎样避免将来再发生此类事故。为了完全解决信息安全事件和事故，在其发生后应该尽可能搜集证据（见13.2.3）。

故障或其他异常的系统行为可能是安全攻击和实际安全问题的指示器，因此应该将其当作信息安全事件进行报告。

关于信息安全事件的报告和信息安全事故的管理方面的信息可以参见ISO/IEC TR 18044。

13.1.2　报告安全弱点

控制

应要求所有的员工、合同方和第三方用户注意并报告系统或服务中已发现或疑似的安全弱点。

实施指南

为了防止信息安全事故的发生，所有员工、合同方和第三方用户应该尽可能将这些事情报告给他们的管理者，或者直接报告给服务供应商。报告机制应该尽可能容易、易理解和方便可用。在任何情况下，他们都无需试图去证明他们怀疑的弱点。

其他信息

应通知员工、合同方和第三方用户不要试图去证明他们怀疑的安全弱点。测试弱点可以被解释为对系统可能的滥用，可能导致信息系统和服务的损坏，个人进行测试导致法律责任等。

13.2　信息安全事故管理和改进

目标：确保使用持续有效的方法管理信息安全事故。

一旦信息安全事件和弱点报告上来，应该立即明确责任，按照规程进行有效处理。应该应用一个连续性的改进过程对信息安全事故进行响应、监视、评估和总体管理。

如果需要证据的话，则应该搜集证据以满足法律的要求。

13.2.1　职责和程序

控制

应建立管理职责和程序，以快速、有效和有序的响应信息安全事故。

实施指南

除了对信息安全事件和弱点进行报告（见13.1）外，还应该利用系统的监视、报警和攻击功能来检测信息安全事故。信息安全事故管理机制应考虑下面的内容：

a) 应该建立机制以处理不同类型的信息安全事故。包括：

　　1) 信息系统失败和服务丢失；

　　2)恶意代码（见10.4.1）；

　　3)拒绝服务；

　　4)不完善或不准确的业务数据导致的错误；

　　5)违背机密性和完整性；

　　6)信息系统滥用。

b) 除了正常的意外事故计划（见14.1.3），规程应该也包括（见13.2.2）：

　　1) 事故原因的分析和确认；

　　2)遏制事故再发生的策略；

　　3)如果需要，制订计划和实施纠正行动以防止事故再发生；

　　4)同受到事故影响和有关事故恢复的人进行交流；

　　5)向有关的机构报告发生的行为。

c) 收集和保护审计踪迹和类似的证据，在下面的行为中用：

　　1) 内部问题分析；

　　2)用作违反合同、法规或民事和刑事案件的司法证据。如计算机滥用和违反数据保护法。

　　3)同软件和服务供应商谈判赔偿时用。

d) 恢复安全破坏和系统失败的行为应该受到仔细和正规的控制。恢复机制应该确保：

　　1) 只有明确指定和授权的人才允许访问存活的系统和数据（见外部访问）；

　　2)所有采取的处理紧急事件的行为都应该详细记录；

　　3)所有采取的处理紧急事件的行为应该报告给管理部门，依序进行评议；

　　4)应该以最小的延迟确保业务系统的完整性和可控性。

信息安全事故管理的目标同管理是一致的，它应该确保负责信息安全事故管理的人明白在机构内处理信息安全事故具有优先权。

其他信息

信息安全事故可能超越机构和国家的界限，对这样的事故做出响应，越来越需要同外部的机构进行协作，共享事故的信息，共同作出响应。

13.2.2　从信息安全事故中学习

控制

应建立能够量化和监控信息安全事故的类型、数量、成本的机制。

实施指南

从对信息安全事故评估中获取的信息应该用来识别再发生的事故和重大影响的事故。

其他信息

对信息安全事故的评估可以指出需要增加控制来限制事故发生的频率、损失和将来再发生的费用，也可以用在安全方针评审过程中（见5.1.2）。

13.2.3　搜集证据

控制

事故发生后，应根据相关法律的规定（无论是民法还是刑法）跟踪个人或组织的行动，应收集、保留证据，并以符合法律规定的形式提交。

实施指南

当收集和提交证据是为了在机构约束行为时，应该制定和遵循内部规程。

总的来说，证据规则包括：

a) 证据的可用性：证据是否可在法庭上使用；

b) 证据的分量：证据的质量和完全性。

为了获得证据的可用性，机构应该确保自己的信息系统是遵从任何公开的标准和实用代码来产生可用的证据。

提供证据的分量应该遵从任何可应用的需求。为了达到证据的分量，用来正确一致地保护证据（即处理控制证据）的质量和完整性控制，在从证据被发现的整个时期内，证据的存储和处理应该通过一种强的证据轨迹来描述。一般情况下，那样的强证据轨迹能在下面的条件下建立：

a) 对纸制文档：原物应该带着下面的记录进行安全保存：谁发现了这个文档，文档是在哪被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查都应确保原物不是伪造的。

b) 对计算机介质上的信息：任何可移动介质的镜像和拷贝（依赖于应用需求）、硬盘和内存中的信息都应该确保其可用性；拷贝处理过程中所有的行为日志都应该保存下来，处理的过程应该有证明；介质的原始数据和日志（如果不可能的话，至少一个镜像文件或拷贝）应该安全保存，不能修改。

任何争论性的工作只允许在拷贝证据材料时进行。所有证据材料的完整性应该得到保护。证据材料的拷贝应该在可依赖人员的监督下进行，什么时候在什么地方进行的拷贝，谁进行的拷贝，使用了什么工具和程序进行的拷贝，这些都应该做日志。

其他信息

当一个信息安全事件首次被检测到时，这个事件是否会导致法律行为可能不会是显而易见的。因此，在意识到事故的严重性之前，可能存在必要的证据被故意或意外毁坏的危险。建议在任何预期的法律行为中早早聘请一位律师或警察，他们会给出需要忠告。

证据可能超越机构和司法界限。在那样的情况下，应该授权机构去搜集需要的信息作证据。不同管辖权的证据需求都应该考虑，以使证据能最大化地在不同管辖区域内可用。