文档更改通用管理实践 - 15 信息安全

Summary

• Page properties (2 modified, 0 added, 0 removed)

Details

Page properties

标题

...	...	@@ -1,1 +1,1 @@
1		-ITIL 4 信息安全管理实践
	1	+15 信息安全管理实践

Content

...	...	@@ -379,7 +379,7 @@
379	379	图3.1 信息安全管理实践对价值链活动的贡献热力图
380	380
381	381
382		-== **​​​​​​​3.2 ​​​​​​​流程** ==
	382	+== **3.2 ​​​​​​​流程** ==
383	383
384	384	每个实践可能包含一个或多个流程和活动，它们对于实现该实践的目标可能是必需的。
385	385
...	...	@@ -461,8 +461,9 @@
461	461
462	462	表3.2 安全事件管理流程的活动
463	463
464		-|实现价值|例
465		-|准备|(((
	464	+(% style="width:755px" %)
	465	+|(% style="width:127px" %)实现价值|(% style="width:626px" %)例
	466	+|(% style="width:127px" %)准备|(% style="width:626px" %)(((
466	466	在安全事件发生之前，组织必须执行操作以为将来可能发生的安全事件做准备。这包括：
467	467
468	468	定义和传达安全事件管理的策略和程序
...	...	@@ -477,7 +477,7 @@
477	477
478	478	测试事件响应计划
479	479	)))
480		-|检测和升级|(((
	481	+|(% style="width:127px" %)检测和升级|(% style="width:626px" %)(((
481	481	信息安全事件可能是：由监控工具检测，受关联工具支持以及受安全事件和事态管理（SIEM）工具支持。事件也可由人员发现；可能会向服务台或安全事件响应小组报告，这取决于谁检测到事件以及事件的性质
482	482
483	483	根据特定的事件响应计划，将事件升级到适当的人员或团队。这可能涉及组建计算机安全事件响应团队（CSIRT）
...	...	@@ -484,7 +484,7 @@
484	484
485	485	如果需要，会将初始通知发送给适当的监管或治理机构
486	486	)))
487		-|分类和分析|(((
	488	+|(% style="width:127px" %)分类和分析|(% style="width:626px" %)(((
488	488	可能需要保留证据，以备将来使用司法程序。为防止污损，必须在进行任何分析之前收集司法数据
489	489
490	490	通过检查系统，端点，应用程序，日志文件等，可以确定安全事件的性质和严重性
...	...	@@ -491,7 +491,7 @@
491	491
492	492	如果需要，则在了解事件的性质和严重性后，可以将进一步的通知发送给监管机构或治理当局
493	493	)))
494		-|遏制和恢复|(((
	495	+|(% style="width:127px" %)遏制和恢复|(% style="width:626px" %)(((
495	495	受影响的系统和服务与Internet和/或组织的其余部分隔离。这样可以进行进一步的分析，同时限制了风险的进一步破坏
496	496
497	497	如果可能，则使用其他可选系统恢复服务
...	...	@@ -500,7 +500,7 @@
500	500
501	501	如果可以在没有其他事件的威胁或最初事件造成进一步损坏的情况下运行业务，则认为流程已恢复
502	502	)))
503		-|事件后活动|系统和服务被监视以保证威胁已被移除。进行经验教训分析以识别改进机会。事件报告完成创建并适当分享
	504	+|(% style="width:127px" %)事件后活动|(% style="width:626px" %)系统和服务被监视以保证威胁已被移除。进行经验教训分析以识别改进机会。事件报告完成创建并适当分享
504	504
505	505	=== 3.2.2 审计和评审 ===
506	506