ISOIEC 27035-1-2023安全技術(shù)-信息安全事件管理-第1部分 原則和過程（雷澤佳譯-2024）

圖4展示了信息安全事件管理各階段及相關(guān)活動中的信息安全事態(tài)和事件流。規(guī)劃和準(zhǔn)備有效的信息安全事件管理需要適當(dāng)?shù)囊?guī)劃和準(zhǔn)備。要將一個有效率和效果的信息安全事件管理計劃投入運(yùn)行，組織宜完成一些準(zhǔn)備活動，即：制定和發(fā)布信息安全事件管理策略并獲得最高管理者的承諾。在公司層面以及具體的系統(tǒng)、服務(wù)和網(wǎng)絡(luò)層面更新信息安全策略，包括那些與風(fēng)險管理相關(guān)的。制定詳細(xì)的信息安全事件管理計劃并形成正式文件，包括溝通和信息披露等方面。建立IRT.并為其成員設(shè)計、開發(fā)和提供適當(dāng)?shù)呐嘤?xùn)課程。與直接參與信息安全事態(tài)、事件和脆弱性管理的內(nèi)部和外部組織，建立并保持適當(dāng)?shù)年P(guān)系和聯(lián)絡(luò)。建立、實(shí)施和運(yùn)行技術(shù)上、組織上和操作上的機(jī)制，來支持信息安全事件管理計劃和IRT的工作。開發(fā)和部署必要的信息系統(tǒng)來支持IRT，包括信息安全數(shù)據(jù)庫。這些機(jī)制和系統(tǒng)旨在防止信息安全事件發(fā)生或降低信息安全事件發(fā)生的可能性。設(shè)計和開發(fā)信息安全事態(tài)、事件和脆弱性管理的意識教育和培訓(xùn)課程。測試信息安全事件管理計劃及其過程和規(guī)程。本階段完成后，組織宜對信息安全事件的要當(dāng)管理做好了充分準(zhǔn)備。ISO/IEC27035-2描述了上述每項活動，包括策略和規(guī)劃文件的內(nèi)容。發(fā)現(xiàn)和報告信息安全事件管理的第二階段通過人工或自動手段發(fā)現(xiàn)信息安全事態(tài)的發(fā)生和信息安全脆弱性的存在，收集相關(guān)信息并報告。在本階段中，事態(tài)和脆弱性可能尚未被歸為信息安全事件。按照組織的報告策略進(jìn)行安全事態(tài)報告便于在需要時開展后續(xù)分析。在發(fā)現(xiàn)和報告階段，組織宜開展如下關(guān)鍵活動：適當(dāng)時，監(jiān)視并記錄系統(tǒng)和網(wǎng)絡(luò)活動；通過人工或自動方式，發(fā)現(xiàn)并報告信息安全事態(tài)的發(fā)生或信息安全脆弱性的存在；收集有關(guān)信息安全事態(tài)或脆弱性的信息；從內(nèi)部和外部數(shù)據(jù)源收集態(tài)勢感知信息，包括本地系統(tǒng)和網(wǎng)絡(luò)的流量和活動日志、可能影響事件活動的當(dāng)前政治、社會或經(jīng)濟(jì)活動的新聞報道、事件趨勢的外部報道、新的攻擊向量、現(xiàn)有攻擊指標(biāo)以及新的緩解對策和技術(shù)；確保正確地記錄所有的活動、結(jié)果和相關(guān)決策，以便后續(xù)分析；確保安全地收集和存儲數(shù)字證據(jù)，并且持續(xù)監(jiān)視其保存安全，以備法律訴訟或內(nèi)部紀(jì)律處分的證據(jù)之需。有關(guān)數(shù)字證據(jù)的識別、收集、獲取和保全的更詳細(xì)信息，參見附錄A中列出的調(diào)查類標(biāo)準(zhǔn)；確保變更控制機(jī)制得到遵循，以使信息安全事態(tài)和脆弱性能夠得到跟蹤，報告得到更新，并保持信息安全數(shù)據(jù)庫處于最新狀態(tài)；本階段需要的時候，升級去做進(jìn)一步的評審或決策。所有收集到的信息安全事態(tài)或脆弱性相關(guān)信息宜存儲在由IRT管理的信息安全數(shù)據(jù)庫中。在每項活動期間報告的信息宜盡可能做到當(dāng)時是完整的，以支持評估、決策和所采取的行動。評估和決策信息安全事件管理的第三階段對信息安全事態(tài)發(fā)生的相關(guān)信息進(jìn)行評估，并判斷是否將事態(tài)歸為信息安全事件。一旦信息安全事態(tài)被發(fā)現(xiàn)和報告，宜進(jìn)行如下后續(xù)活動：對參與評估、決策和行動的人員（包括安全和非安全領(lǐng)域人員），通過適當(dāng)?shù)膶哟谓Y(jié)構(gòu).分配信息安全事件管理活動的職責(zé)；為每一個被通知的人員提供遵從的正式規(guī)程.包括評審和修改報告，評估損害和通知相關(guān)人員。單個人的行動將取決于事件的類型和嚴(yán)重性；按照指南對信息安全事態(tài)以及在被歸為信息安全事件后的后續(xù)行動進(jìn)行完整的文件化。在評估和決策階段，組織宜進(jìn)行如下關(guān)鍵活動；收集信息.可包括信息安全事態(tài)發(fā)現(xiàn)時采集到的測試、測量和其他數(shù)據(jù)。收集到的信息類型和數(shù)量將取決于已發(fā)生的信息安全事態(tài)；由事件處理者進(jìn)行評估，來確定該事態(tài)是否可能是或被確認(rèn)為信息安全事件，或者是一次誤報。誤報（即假陽性）表明所報告的事態(tài)是不真實(shí)的或無任何后果。如果需要的話，IRT可進(jìn)行質(zhì)量評審以確保事件處理者的事件聲明是正確的；確保所有參與方，特別是IRT，正確地記錄了所有活動、結(jié)果和相關(guān)決策以便后續(xù)分析。確保變更控制機(jī)制得到保持，以便涵蓋信息安全事態(tài)和脆弱性的跟蹤以及事件報告的更新，并保持信息安全數(shù)據(jù)庫處于最新狀態(tài)。所有收集到的信息安全事態(tài)、事件或脆弱性相關(guān)信息宜存儲在山IRT管理的信息安全數(shù)據(jù)庫中。在每項活動期間報告的信息宜盡可能做到當(dāng)時是完整的，以支持評估、決策和所采取的行動。響應(yīng)信息安全事件管理的第四階段按照在評估和決策階段所決定的行動響應(yīng)信息安全事件。響應(yīng)可能是立即的、實(shí)時的或接近實(shí)時的，并且一些響應(yīng)可能包含信息安全調(diào)查，這些均取決于決策。一旦信息安全事件被確認(rèn)且響應(yīng)被確定，宜進(jìn)行如下后續(xù)活動：對參與決策和行動的人員（包括安全和非安全領(lǐng)域人員）通過適當(dāng)?shù)膶哟谓Y(jié)構(gòu)，分配信息安全事件管理活動的職責(zé)；為每一個參與人員提供遵從的正式規(guī)程，包括評審和修改報告，再評估損害和通知相關(guān)人員。單個人的行動將取決于事件的類型和嚴(yán)重性；按照指南對信息安全事件和后續(xù)行動進(jìn)行完整的文件化。在響應(yīng)階段，組織宜進(jìn)行如下關(guān)鍵活動；根據(jù)需要并相對于信息安全事件分級的級別評分，對事件進(jìn)行調(diào)查。必要時宜變更級別。調(diào)查可包括各種類型的分析來提供對事件更深入的理解；由IRT評審來確定信息安全事件是否在可控范圍內(nèi)，如果是，則執(zhí)行所需的響應(yīng)。如果事件不在可控范圍內(nèi)或?qū)M織運(yùn)行產(chǎn)生嚴(yán)重影響，則通過升級到危機(jī)處理模式來執(zhí)行危機(jī)響應(yīng)活動；分配內(nèi)部資源并識別外部資源來響應(yīng)事件；本階段需要的時候，升級去做進(jìn)一步的評審或決策；確保所有參與方，特別是IRT，正確地記錄了所有活動以便后續(xù)分析；確保安全地收集和存儲數(shù)字證據(jù)，并且持續(xù)監(jiān)視其保存安全，以備法律訴訟或內(nèi)部紀(jì)律處分的證據(jù)之需，有關(guān)數(shù)字證據(jù)的識別、收集、獲取和保全的更詳細(xì)信息，參見附錄A中列出的調(diào)查類標(biāo)準(zhǔn)；確保變更控制機(jī)制得到保持，以便涵蓋住信息安全事態(tài)和脆弱性的跟蹤以及事件報告的更新，并保持信息安企數(shù)據(jù)庫處于最新狀態(tài)。按照組織及IRT溝通計劃和信息披露策略，與其他內(nèi)部的和外部的人員或組織，就信息安全事件的存在進(jìn)行溝通，并共享任何相關(guān)細(xì)節(jié)（例如，威脅、攻擊和脆弱性信息）。尤為重要的是，通知資產(chǎn)所有者（在影響分析期間確定的）以及內(nèi)部和外部組織（例如，其他事件響應(yīng)團(tuán)隊、執(zhí)法機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和信息共享組織）.以便獲得對事件管理和解決的幫助。由于同樣的威脅和攻擊經(jīng)常影響多個組織，共享信息也會給其他組織帶來益處。有關(guān)信息共享的更多細(xì)節(jié)，參見ISO/IEC27010；從事件中恢復(fù)后，宜根據(jù)事件的性質(zhì)和嚴(yán)重性啟動后事件活動，包括：事件相關(guān)信息的調(diào)查；其他相關(guān)原因（諸如涉及人員）的調(diào)查；調(diào)查結(jié)果的總結(jié)報告。一旦事件已得到解決，宜按照IRT或上級組織的要求關(guān)閉該事件處理，并通知所有相關(guān)方。所有收集到的信息安全事態(tài)、事件或脆弱性相關(guān)信息宜存儲在山IRT管理的信息安全數(shù)據(jù)庫中。在每項活動期間報告的信息宜盡可能做到當(dāng)時是完整的，以支持評估、決策和所采取的行動，包括潛在的進(jìn)一步分析。經(jīng)驗總結(jié)信息安全事件管理的第五階段發(fā)生在信息安全事件得到解決之后。這一階段涉及從事件、相關(guān)漏洞和威脅的處理過程中經(jīng)驗總結(jié)。教訓(xùn)可能來自一個或多個信息安全事件或報告的安全漏洞。通過向組織的戰(zhàn)略中注入指標(biāo)，以確定在信息安全控制方面的投資方向，從而輔助改進(jìn)。至關(guān)重要的是，吸取的教訓(xùn)要與信息安全管理的變革能力相結(jié)合，該能力負(fù)責(zé)做出業(yè)務(wù)決策，并在認(rèn)為必要時，將擬議的修改納入信息安全管理的改進(jìn)過程中。事件報告應(yīng)指出導(dǎo)致不同行動的各種情況，以便轉(zhuǎn)至信息安全管理的改進(jìn)過程。報告還應(yīng)根據(jù)吸取的教訓(xùn)，對信息安全事件管理計劃及其文件進(jìn)行改進(jìn)。對于經(jīng)驗總結(jié)階段，組織應(yīng)執(zhí)行以下關(guān)鍵活動：評審過程、程序、報告格式和組織結(jié)構(gòu)在響應(yīng)、評估和恢復(fù)信息安全事件以及處理信息安全漏洞方面的有效性；識別、記錄和溝通從信息安全事件、相關(guān)漏洞和威脅中吸取的教訓(xùn)；評審、識別并改進(jìn)信息安全控制的實(shí)施（新的或更新的控制措施），以及信息安全事件管理策略；評審、識別并改進(jìn)組織現(xiàn)有的信息安全風(fēng)險評估和管理評審；在可信社區(qū)內(nèi)溝通和分享評審結(jié)果（如果組織愿意）；確定是否可與合作伙伴組織共享事件信息、相關(guān)的攻擊載體和漏洞，以協(xié)助防止在其環(huán)境中發(fā)生相同的事件。有關(guān)更多詳細(xì)信息，請參見ISO/IEC27010關(guān)于信息共享的內(nèi)容；定期對信息安全團(tuán)隊（IRT）的績效和有效性進(jìn)行全面評價。需要強(qiáng)調(diào)的是，信息安全事件管理活動是迭代的，因此組織應(yīng)隨著時間的推移定期對多個信息安全要素進(jìn)行改進(jìn)。這些改進(jìn)應(yīng)在評審信息安全事件、響應(yīng)和報告的信息安全漏洞的數(shù)據(jù)的基礎(chǔ)上提出。（資料性）：與調(diào)查類標(biāo)準(zhǔn)的關(guān)系本部分所描述的是綜合調(diào)查過程的一部分。綜合調(diào)查過程包括（但不限于）如下標(biāo)準(zhǔn)的應(yīng)用：ISO/IEC27037數(shù)字證據(jù)的識別、收集、獲得和保全指南該標(biāo)準(zhǔn)描述了在調(diào)查初期（包括初始響應(yīng)）介入的手段，以便能夠確保獲取充分的潛在證據(jù)來使調(diào)查恰當(dāng)?shù)剡M(jìn)行。ISO/IEC27038數(shù)字脫敏規(guī)范某些文件可能包含不宜向某些社群披露的信息?？梢越?jīng)過對原始文件進(jìn)行適當(dāng)處理后，將修改版向這些社群發(fā)布。移除不應(yīng)披露信息的過程被稱為“脫敏”。文件的數(shù)字脫敏是文件管理實(shí)踐中一個相對較新的領(lǐng)域、并由此引起獨(dú)特問題和潛在風(fēng)險。當(dāng)數(shù)字文件被脫敏后，被移除的信息不宜被恢復(fù)。因此.需要小心從事，以使被脫敏的信息從數(shù)字文件中被永久移除（例如，不宜簡單地隱藏在文件不可顯示的部分中）。該標(biāo)準(zhǔn)規(guī)范了數(shù)字文件的數(shù)字脫敏方法，還規(guī)范了對脫敏軟件的要求。 ISO/IEC27040存儲安全該標(biāo)準(zhǔn)為組織如何通過在規(guī)劃、設(shè)計、記錄和實(shí)現(xiàn)數(shù)據(jù)存儲安全時，利用一種已被充分證明且一致的方法來確定適當(dāng)?shù)娘L(fēng)險緩解程度，提供了詳細(xì)的技術(shù)指導(dǎo)。存儲安全應(yīng)用于所存儲信息的保護(hù)（安全）以及與存儲相關(guān)的跨通信鏈路被傳輸信息的安全。存儲安全包括在設(shè)備和介質(zhì)有效期間及使用終結(jié)后設(shè)備和介質(zhì)的安全、與設(shè)備和介質(zhì)相關(guān)的管理活動的安全、應(yīng)用和服務(wù)的安全以及與終端用戶相關(guān)的安像加密和清除這樣的安全機(jī)制，因引入混淆機(jī)制，會影響一個人的調(diào)查能力，宜在調(diào)查前和調(diào)查中予以考慮。安全機(jī)制在確保調(diào)查中和調(diào)查后的證據(jù)材料存儲得到充分的準(zhǔn)備和保護(hù)方面也是重要的。ISO/IEC27041確保事件調(diào)查方法適宜性和充足性的指南重要的是能夠證明在調(diào)查中所采取的方法和過程是適當(dāng)?shù)摹Ｔ摌?biāo)準(zhǔn)為如何保證方法和過程滿足調(diào)查的要求并得到適當(dāng)?shù)臏y試提供指導(dǎo)。ISO/IEC27042數(shù)字證據(jù)分析和解釋指南該標(biāo)準(zhǔn)描述了如何將調(diào)查中所使用的方法與過程設(shè)計和實(shí)現(xiàn)成能夠正確評價潛在數(shù)字證據(jù).解釋數(shù)字證據(jù)，并有效報告調(diào)查結(jié)果。ISO/IEC27043事件調(diào)查原則和過程該標(biāo)準(zhǔn)定義了事件調(diào)查背后關(guān)鍵的共同原則和過程，并為所有調(diào)查階段提出了框架模型。ISO/IEC27050電子發(fā)現(xiàn)該標(biāo)準(zhǔn)提出了電子發(fā)現(xiàn)中的活動，包括（但不限于）電子存儲信息（ESI）的識別、保全、收集、處理、評審、分析和產(chǎn)出。此外，它還提供了從ESI初始生成至其最終處置的測量驗證指導(dǎo)，組織可依此來降低電子發(fā)現(xiàn)的風(fēng)險和開銷。該標(biāo)準(zhǔn)與參與電子發(fā)現(xiàn)的某些或全部活動的非技術(shù)和技術(shù)人員均有關(guān)。值得注意的是該指南無意于與當(dāng)?shù)厮痉ü茌爡^(qū)的法律法規(guī)沖突或取而代之。電子發(fā)現(xiàn)常常會推動調(diào)查以及證據(jù)獲取和處理活動。此外，數(shù)據(jù)的敏感性和重要性需要采取像存儲安全這樣的保護(hù)來防范數(shù)據(jù)泄露。ISO/IEC30121數(shù)字取證風(fēng)險治理框架該標(biāo)準(zhǔn)為組織治理者（包括所有者、董事會成員、主管、合作伙伴、高級管理人員，或同類人員）以最佳方式準(zhǔn)備組織的數(shù)字調(diào)查提供了框架。該標(biāo)準(zhǔn)應(yīng)用于制定有關(guān)數(shù)字證據(jù)披露的保留、可用性、訪問和成本效益的戰(zhàn)略過程（和決策），適用于所有類型和規(guī)模的組織，為組織的數(shù)字調(diào)查提供穩(wěn)健的戰(zhàn)略準(zhǔn)備。取證就緒確保組織為接受具有證據(jù)性的潛在事態(tài)做好了適當(dāng)及相關(guān)的戰(zhàn)略準(zhǔn)備。當(dāng)出現(xiàn)不可避免的安全違規(guī)、欺詐和名譽(yù)侵權(quán)時便可采用行動。在任何情況下，宜戰(zhàn)略性地部署信息技術(shù)（IT），使證據(jù)的可用性、可及性和成本效益產(chǎn)生最大效果。圖A.1展示了圍繞事件及其調(diào)查的典型活動。圖中數(shù)字（例如.27037）表示上述列出的標(biāo)準(zhǔn)，其旁帶有不同陰影的條表示該標(biāo)準(zhǔn)對調(diào)查過程或是最可能直接適用或是具有某種影響（例如，建立策略或產(chǎn)生約束）。建議在規(guī)劃和準(zhǔn)備階段開始前和進(jìn)行中都宜參考所有這些標(biāo)準(zhǔn)。圖中所示的過程類在ISO/IEC27043中有金面定義，與之匹配的各項活動在ISO/IEC27035-2、ISO/IEC27037、ISO/IEC27042和ISO/IEC27041中有更為詳細(xì)的論述。（資料性）：信息安全事件及其起因示例事件的類型總則ISO/IEC27035系列涵蓋的事件和事件涉及信息和ICT安全。這些事件和事件源于不完善的風(fēng)險管理，以及人員、流程和技術(shù)的不斷發(fā)展——及其相關(guān)的漏洞——在不斷變化的攻擊者動機(jī)和能力的背景下。事件/事件發(fā)生在以下領(lǐng)域，事件管理應(yīng)涵蓋所有潛在情況。保密性信息泄露可能對組織產(chǎn)生即時影響，并可能使信息無法挽回地被未經(jīng)授權(quán)的攻擊者和/或犯罪分子獲取。因此，應(yīng)“關(guān)上門”（即停止泄露，填補(bǔ)漏洞），并通過確定泄漏發(fā)生的地方及其原因來防止未來的泄露。完整性完整性事件（不當(dāng)修改的信息）應(yīng)在信息發(fā)布和/或使用之前被檢測并糾正。必須通過確定原因來預(yù)防?？捎眯孕畔⒌牟豢捎眯裕o法訪問、無法使用、被擦除或消失的信息）可能與服務(wù)水平協(xié)議（SLA）和恢復(fù)點(diǎn)目標(biāo)（RPO）產(chǎn)生相關(guān)影響。應(yīng)在業(yè)務(wù)影響變得不可接受之前找到并恢復(fù)信息。示例：一份已完成的財務(wù)報告本應(yīng)在規(guī)定日期發(fā)送給財政部門，但未遵守。訪問控制未經(jīng)授權(quán)的訪問會導(dǎo)致系統(tǒng)受損、資源被盜和信息泄露。應(yīng)通過確定潛在的漏洞和原因，并在適用情況下評審訪問控制權(quán)限（授權(quán)、身份驗證、角色、權(quán)限、網(wǎng)絡(luò)訪問等）來防止未來再次發(fā)生。漏洞技術(shù)、人員或程序漏洞，如訪問權(quán)限分配不正確，可能導(dǎo)致成功利用。漏洞的示例包括：未修補(bǔ)的服務(wù)器、機(jī)器或軟件（不是最新的）；對資產(chǎn)（信息、設(shè)備、房間）的保護(hù)不足，考慮到其關(guān)鍵性。技術(shù)故障技術(shù)故障使ICT或物理設(shè)備無法運(yùn)行或使用。它會造成漏洞或潛在違反SLA和恢復(fù)時間目標(biāo)（RTO）的情況。設(shè)備被盜或丟失設(shè)備和主要包含信息的設(shè)備被盜和丟失應(yīng)被視為可用性和/或保密性事件。攻擊拒絕服務(wù)拒絕服務(wù)（IDoS）和分布式拒絕服務(wù)（ILDoS）是事件的一個大類，具有共同點(diǎn)。這類事件導(dǎo)致系統(tǒng)、服務(wù)或網(wǎng)絡(luò)失敗，不能按其預(yù)期能力持續(xù)運(yùn)行，經(jīng)常導(dǎo)致合法用戶完全不能訪問。技術(shù)手段導(dǎo)致的DoS/DDoS文件類型主要有兩種：資源消除和資源耗盡。故意的技術(shù)型DoS/DDoS事件的典型例子包括：偵測網(wǎng)絡(luò)廣播地址，用響應(yīng)流量占滿網(wǎng)絡(luò)帶寬；向系統(tǒng)、服務(wù)或網(wǎng)絡(luò)發(fā)送意外格式的數(shù)據(jù)，試圖至其崩潰或擾亂其正常運(yùn)行；開啟特定系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的多個授權(quán)會話，試圖耗盡其資源（即.至其慢速、鎖定或崩潰）。這種攻擊經(jīng)常通過僵尸工具來進(jìn)行，即一個運(yùn)行了惡意軟件受僵尸網(wǎng)絡(luò)控制的計算機(jī)系統(tǒng)。僵尸網(wǎng)絡(luò)是受人集中控制的僵尸命令和控制網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的規(guī)?？蓮臄?shù)百臺到數(shù)百萬臺受感染的計算機(jī)。某些技術(shù)型DoS事件可能是意外造成的，例如，操作員的錯誤配置或應(yīng)用軟件的不兼容，但多數(shù)時候是故意的。某些技術(shù)型DoS事件是被有意發(fā)起的，目的在于導(dǎo)致系統(tǒng)、服務(wù)或網(wǎng)絡(luò)崩潰.而其他那些僅是其他惡意活動的副產(chǎn)品。例如，某些較常見的隱形掃描和識別技術(shù)可能會導(dǎo)致舊的或錯誤配置的系統(tǒng)或服務(wù)在掃描時崩潰。值得注意的是，許多故意的技術(shù)型DoS事件往往是匿名執(zhí)行的（即攻擊源是“偽造的”），因為它們通常不需要攻擊者從受攻擊的網(wǎng)絡(luò)或系統(tǒng)接收任何反饋信息。非技術(shù)手段導(dǎo)致的DoS事件，造成信息、服務(wù)和（或）設(shè)施損失，可能由如下示例引起：違反物理安全規(guī)定，造成設(shè)備的失竊或故意損壞和破壞；由火災(zāi)或水災(zāi)導(dǎo)致的對硬件[和（或）其位置]的意外損壞；極端的環(huán)境條件，例如，高運(yùn)行溫度（如因空調(diào)故障）；系統(tǒng)故障或過載；不受控的系統(tǒng)變更；軟件或硬件故障。2未授權(quán)訪問通常，這類事件包括在實(shí)際未授權(quán)的情況下嘗試訪問或誤用系統(tǒng)、服務(wù)或網(wǎng)絡(luò)。技術(shù)型未授權(quán)訪問事件的一些例子包括：試圖找回密碼文件；緩沖區(qū)溢出攻擊，試圖獲得對目標(biāo)的特權(quán)（例如，系統(tǒng)管理員）訪問；利用協(xié)議漏洞，劫持或誤導(dǎo)合法的網(wǎng)絡(luò)連接；試圖提升對資源或信息的訪問特權(quán)，以致超出一個用戶或管理員已經(jīng)合法所擁有的。非技術(shù)手段導(dǎo)致的未授權(quán)訪問事件，造成直接或間接的信息泄露或篡改、責(zé)任違約或信息系統(tǒng)誤用，可能由如下示例引起：違反物理安全規(guī)定，造成對信息的未經(jīng)授權(quán)訪問：由于系統(tǒng)變更不受控或者軟件或硬件故障，致使操作系統(tǒng)配置不當(dāng)和（或）錯誤。惡意軟件惡意軟件是指一個程序或一個程序的部分被插入另外一個程序中，意在修改原來的行為，通常進(jìn)行惡意活動.諸如盜用信息和身份、破壞信息和資源、拒絕服務(wù)，發(fā)送垃圾郵件等。惡意軟件攻擊可分為五類：病毒、蠕蟲、特洛伊木馬、移動代碼和混合攻擊。其中，病毒旨在植入任何易受感染的系統(tǒng)，而其他惡意軟件被用于針對特定目標(biāo)進(jìn)行攻擊，這有時通過修改現(xiàn)有的惡意軟件，生成不易被惡意軟件檢測技術(shù)認(rèn)出的變體的方式進(jìn)行。4濫用這類事件通常是因用戶違背組織信息系統(tǒng)安全策略造成的。嚴(yán)格來說，這種事件并不是攻擊，但通常作為事件米報告且宜由IRT管理。不當(dāng)使用可包括：下載并安裝黑客工具：利用企業(yè)電子郵件發(fā)送垃圾郵件或推廣個人業(yè)務(wù)；——利用公司資源建立未經(jīng)授權(quán)的網(wǎng)站；利用對等網(wǎng)絡(luò)（P2P）獲取或發(fā)布盜版文件（音樂、視頻、軟件）。信息收集通常，信息收集類事件包括識別潛在目標(biāo)，了解這些目標(biāo)上運(yùn)行的服務(wù)等相關(guān)活動。這類事件涉及以識別如下信息為目標(biāo)的偵測：存在的目標(biāo)及其周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和與其日常通信的對象；目標(biāo)或其即時網(wǎng)絡(luò)環(huán)境中可能被利用的潛在脆弱性。通過技術(shù)手段進(jìn)行信息收集攻擊的典型例子如下：鏡像目標(biāo)互聯(lián)網(wǎng)域的域名系統(tǒng)（LNS）記錄（DNS區(qū)域傳輸）：——偵測網(wǎng)絡(luò)地址以發(fā)現(xiàn)活躍的系統(tǒng)；探測系統(tǒng)以識別（例如：采集痕跡）主操作系統(tǒng)；掃描系統(tǒng)上的可用的網(wǎng)絡(luò)端口來識別網(wǎng)絡(luò)服務(wù)[例如，電子郵件、文件傳輸協(xié)議（FTP），網(wǎng)頁等].以及這些服務(wù)的軟件版本；在網(wǎng)絡(luò)地址范圍中掃描一個或多個已知的易受攻擊的服務(wù)（水平掃描）。在某些情況下，技術(shù)型的信息收集可能會導(dǎo)致未授權(quán)訪問。例如，攻擊者在搜索脆弱性時還會試圖獲得未授權(quán)訪問。這通常發(fā)生在使用自動化工具。自動化工具不僅搜索脆弱性，還自動地試圖發(fā)現(xiàn)并利用系統(tǒng)、服務(wù)或網(wǎng)絡(luò)中的脆弱性。非技術(shù)手段導(dǎo)致的信息收集事件，會造成如下后果：直接或間接的信息泄露或篡改；電子化存儲的知識產(chǎn)權(quán)的被盜；責(zé)任違約，例如，在賬戶記錄中的責(zé)任違約；信息系統(tǒng)濫用（例如，違反法律或組織策略）。信息收集事件可能由如下原因（示例）導(dǎo)致：違反物理安全規(guī)定，造成對信息的非授權(quán)訪問，以及含有重要數(shù)據(jù)（例如，密鑰）的數(shù)據(jù)存儲設(shè)備失竊；由于系統(tǒng)變更不受控或者軟件或硬件故障，致使操作系統(tǒng)配置不當(dāng)和（或）錯誤，進(jìn)而導(dǎo)致內(nèi)部或外部人員獲得額外的信息訪問權(quán)限；社會工程，一種操縱人們行動或泄露機(jī)密信息的行為，例如，網(wǎng)絡(luò)釣魚。（資料性）：ISO/IEC27001與ISO/IEC27035系列對照表表C.1顯示了ISO/IEC27001:2022附錄A中關(guān)于信息安全事件管理的引用，以及這些引用在ISO/IEC27035系列中的對應(yīng)位置。每行開頭都標(biāo)明了每個文件的具體子條款。表C.1：-ISO/IEC27001:2022在ISO/IEC27035系列中的對照表ISO/IEC27001:2022，附錄AISO/IEC27035系列5.24信息安全事件管理規(guī)劃和準(zhǔn)備控制措施：組織應(yīng)通過定義、建立和傳達(dá)信息安全事件管理過程、角色和責(zé)任，規(guī)劃和準(zhǔn)備管理信息安全事件ISO/IEC27035-1:20235.2規(guī)劃和準(zhǔn)備ISO/IEC27035-2:20234信息安全事件管理策略5信息安全策略更新6制定信息安全事件管理計劃7建立事件管理能力8建立內(nèi)部和外部關(guān)系9明確技術(shù)和其他支持10提高信息安全事件意識和培訓(xùn)11測試信息安全事件管理計劃6.8信息安全事件報告控制措施：組織應(yīng)提供機(jī)制，使工作人員通過適當(dāng)渠道及時報告觀察到的或可疑的信息安全事態(tài)。ISO/IEC27035-1:20235.3發(fā)現(xiàn)和報告ISO/IEC27035-3:20207事件發(fā)現(xiàn)運(yùn)行8事件通知運(yùn)行12事件報告運(yùn)行5.25信息安全事件的評估和決策控制措施：組織應(yīng)評估信息安全事態(tài)，并決定是否將其歸類為信息安全事件。ISO/IEC27035-1:20235.4評估和決策ISO/IEC27035-3:20209事件鑒別分類運(yùn)行10事件分析運(yùn)行5.26對信息安全事件的響應(yīng)控制措施：應(yīng)按照文件化的規(guī)程響應(yīng)信息安