5.2.12  信息安全事件管理

信息安全事件管理包含1個(gè)控制目標(biāo)7個(gè)控制措施。

　　組織應(yīng)建立信息安全事件管理制度，明確信息安全事件的職責(zé)和處理規(guī)程，以確?？焖?、有效和有序地響應(yīng)信息安全事件。應(yīng)與管理人員商定信息安全事件管理的目標(biāo)，應(yīng)確保信息安全事件管理責(zé)任人理解處理組織信息安全事件時(shí)的優(yōu)先級(jí)。

所有雇員、承包方人員和第三方人員都應(yīng)該知道他們有責(zé)任盡可船L地報(bào)告任何信息安全事態(tài)。他們還應(yīng)該知道報(bào)告信息安全事態(tài)的流程和聯(lián)系人員及聯(lián)系方式。

為了預(yù)防信息安全事件，所有雇員和承包商應(yīng)注意并報(bào)告任何觀察到或可疑的系統(tǒng)或服務(wù)中的信息安全弱點(diǎn)，盡可能快地將這些事情報(bào)告給組織制定的安全管理者，或者直接報(bào)告給服務(wù)提供者。報(bào)告機(jī)制應(yīng)盡可能容易、可訪問(wèn)和可利用。雇員、承包商不要試圖去證明被懷疑的安全弱點(diǎn)。需要告知雇員和承包商自行測(cè)試弱點(diǎn)可能被看作是潛在的系統(tǒng)誤用，還可能導(dǎo)致信息系統(tǒng)或服務(wù)的損害，并引起測(cè)試人員的法律責(zé)任。