信息安全事件管理階段

　　像任何公司程序一樣，信息安全事件管理的組織必須經曆幾個階段：從確定其需求到實施和審核。實際上，大多數企業的管理層沒有意識到需要采取這種保護信息邊界的做法，因此，要啟動一項實施措施，通常有必要由外部顧問審核IS系統並提出建議，然後由企業管理層實施。因此，實施IS事件管理程序的出發點是執行機構的決定，有時甚至是公司管理系統的更高級別的決定，例如董事會。

　　通常根據現有信息安全系統的現代化做出一般決定。事件管理系統是其主要部分。在決策層，必須將其本地化作為公司目標的一般范式。理想情況下，如果信息安全系統的功能成為組織的業務目標之一，並且其工作質量得到??公司負責員工的關鍵績效指標的建立的支持。確定系統功能的狀態後，有必要進行內部文檔的開發，以協調公司中的相關關系。

　　為了重視信息安全管理技術，必須在執行機構(總經理，董事會或董事會)級別上批准它們。與使用電子形式或有形媒體上存在的信息有關的所有員工都必須熟悉該文件的數據。

　　在以規章形式起草的文件結構中，應強調以下小節：

　　識別被識別為與特定公司的安全系統有關的事件的事件。因此，對於國營公司而言，使用外部電子郵件可能會違反IS的規定，而對於私人公司而言，則是普通事件;

　　事件通知順序。必須定義通知的格式(口頭，備忘錄，電子消息)，要通知的人員的列表以及缺席時的重複帖子，還向其傳達有關該事件的信息的人員的列表(公司管理層)，之後的通知期接收有關事件的信息;

　　消除事件後果的措施清單及其執行程序;

　　調查程序，其中規定了負責該程序的官員，收集和記錄證據的機制，以及識別罪魁禍首的可能行動;

　　使肇事者承擔紀律責任的程序;

　　事件調查後將采取的加強安全措施;

　　最小化傷害並消除事故後果的程序。

　　在制定中介IS事件管理系統的法規時，建議使用已經創建並顯示出其有效性的方法和文檔，包括報告表格，注冊日志和事件通知防止数据泄漏(data leakage prevention)。

　　消除事件的原因和後果，對其進行調查

　　在將有關事件通知相關官員並解決後，必須立即采取響應措施，即消除事件的原因和後果。這些過程的所有階段均應反映在法規中。它描述了一些最重要事件的常見操作列表，應用這些措施的特定步驟和時間表。還必須對不采用既定措施或其無效執行承擔責任网络事件响应(cyber incident response)。

　　在調查階段，組織官員必須：

　　查明事件的起因，以及使之成為可能的監管文件和方法的缺陷;

　　建立負責和有罪的人;

　　收集並記錄證據;

　　確定事件的動機以及公司內部人員之外的人員圈子，以識別客戶。

　　如果計劃基於信息安全領域的犯罪或違反商業秘密制度對事件進行進一步起訴，則有必要在最初階段讓業務調查機構參與調查。在沒有遵守程序措施的情況下自行收集的事實將不被認為是適當的證據，並附在案件上。