当第2章中确定的威胁中的某一个变成真实的攻击时,只要它具有以下所有的特征,它便被分类为信息安全事故:
*它直接针对信息资产
*它有实际的成功机会
*它威胁到信息资源和资产的机密性、完整性和可用性
对威胁和攻击的预防已经被有意地从这些讨论中省略了,因为针对这类可能性的防护完全是信息安全部门的职责。IR是一个响应方法,而不是预防方法,理解这一点是很重要的。
创建一个机构IRP的责任通常会落到CISO肩上,在CP团队中的其他主管和系统管理员的协助下,CISO应该从利益团体中选择成员来组成一个独立的IR团队以执行IRP。IR团队成员的角色和责任应该清晰地以文档记录下来并在机构中进行传达。IRP也包括一个执勤名单,它列出了在事故发生期间应该联系的特定关键机构。
使用前面讨论过的6步CP过程,CP团队创建了IRP,IR程序也已经成型了。 对于每一个事故,CP团队都创建3套事故处理程序:
①事故中:计划者制定并用文件的形式规定在事故发生期间必须执行的程序。这些程序都被分类并分配给个人。系统管理员的任务不同于主管的任务,所以计划委员会的成员们必须拟定一组功能各有侧重的程序。
②事故后:一旦起草完处理事故的程序,计划者就会制定并成文,规定在事故平息之后必须马上执行的程序。再者,可以为单独的功能区域制定不同的程序。
③事件前:计划者起草第3套程序,必须执行这些程序以对事故做出准备。这些程序包括详细的数据备份计划表、灾难恢复准备、培训计划表、测试计划、服务协议的副本以及业务连续性计划(如果有的话)。针对这样的情况,业务连续计划可以仅由某个服务机构上的附加材料组成,该服务机构通过电子链接来实现异地数据存储,只需要一个协议以向他们提供所需的办公空间和最少设备即可。
图3.2列举了支持上述每一个阶段的IR计划的示例页面。一旦这套程序被明确地形成文档,就形成了事故响应计划(IRP)中的事故响应(IR)部分,而计划部分中所描述的关键信息也被记录下来了。