法律、规章、调查与合规.pptVIP

事件响应程序 分类-调查-遏制-分析-追踪-恢复 安全事件处理机制的好处 控制（）和修复（）事件造成的损害 事件处理机制事先建立的报告体系、沟通管道和处理规程可以使机构对于事件的响应（）更加迅速、处置（）和恢复（）工作更加协调、有效和快捷。 预防未来的损害（ ）： 得到大量威胁和缺陷方面的数据和信息用于风险评估（ ）过程以确定更有效的防范措施。 发现几个内外部沟通（ ）和应急准备（）方面的问题以建立更有效的沟通和应急准备机制 将所得到的信息用于员工培训以帮助员工了解安全问题。 将所得到的数据和信息通过协调机制如进行分享以提高整个业界的防御能力。 安全事件处理的准备 建立正式、规范的事件响应和处理政策（）、规程（）和指导方针（），并将这些信息传达给内部员工，需要时还应让商业伙伴（ ）、定约人（）或客户等相关方面了解； 建立集中式（）的快捷、安全、方便和有效的报告和信息发布体系，应建立备份的（）报告和发布渠道，鼓励员工报告事件并保证不会因此对报告人产生不利影响，也可允许匿名（）报告； 建立能力全面、责任明确、具有广泛性代表性的事件响应团队（ ），团队不仅需要包括专业技术人员，还应包括公共关系、法律事务、人力资源、审计等部门的人员； 建立广泛的合作关系，包括与调查和执行机关、第三专业服务机构、新闻媒体的联络渠道。 事件处理的生命周期 事件处理的准备阶段应确定事件的甄别（）标准，包括分类定义（ ）、排序方法（），应针对不同事件及其影响的系统的特点分别建立相应的处理方法和规程（）； 事件处理过程（除准备工作以外）有时也被为事件响应升级过程（ ），该过程包括： 检测和分析（ ） 控制/根除/恢复（） 善后处理（ ） 事件处理的检测和分析 事件征兆（和）及其来源： 、反病毒、完整校验、状态监视等安全软件警告； 操作系统、应用程序、网络设备日志的记录和分析； 各级计算机安全事件响应机构的警告； 机构内部人员和外部人员的报告 事件类型、原因、趋势等特点的分析； 根据事件的影响和影响对象确定事件的重要程度； 将事件的情况通知给相关的机构和人员。 对事件处理的过程进行详细记录，以便做为证据或今后进行相关事件处理的参考资料； 事件处理的控制、清除和恢复 按照事先制定（）的控制策略和规程，根据事件的不同类型（）采取不同应对措施以控制（）事件的影响； 对事件相关证据（）进行收集（）和保存（），对此过程进行记录（），确保证据保管链（ ）的有效性（）和证据的完整性； 通过路由节点实时追踪、检查日志记录、采取地址验证（ ’s ）、主机扫描等技术手段以及通过网络搜索、访问事件数据库（ ）和黑客网址（ ’s ）等途径识别攻击者的身份； 清除（）攻击者植入的有害代码和账户等信息，恢复（）被破坏的系统和数据，对系统进行安全加固和安全控制的部署。 事件处理的善后工作 对事件处理工作的经验和教训（ ）进行回顾和总结，对于影响比较大的事件要举行跨部门的事后分析（ ）会议； 事后分析的主要目的是利用所收集到的数据对安全形势、趋势、事件响应团队的绩效（）进行评判，用于改善风险评估、安全控制部署和事件处理工作； 善后处理可能涉及到对攻击者的制裁（），制裁方式可包括刑事、民事指控（）、纪律处分（ ）等； 如果需要向执法机关报告，应事先指定联系人并建立联络关系和规程，报告前应得到管理层的许可； 如果需要与外部机构共享事件处理的相关信息，应注意防止泄露公司或个人的敏感信息。 国际计算机证据组织 在处理数字证据时，必须应用所有通用取证和过程化原则。 在查封数字证据时，采取的行动不得改变这些证据。 如果一个人需要访问原始的数字证据，那么这个人必须经过专门培训。 所有与数字证据查封、访问、存储或传输有关的活动必须完全记录在案，加以保护并可进行审查。 如果组织机构拥有数字证据，那么应由专人负责所有关于数字证据的动作。 任何负责查封、访问、存储或传输数字证据的机构都应遵守上述原则。 对证据的要求 相关性（），与所证明事实的实质（）联系； 可靠性（），增加产生的过程是可靠、可信的（），对于电子证据，有时还需要电子数据的托管人（），如系统管理员或技术专家证明这一点； 合法性（），获得证据的手段要合法； 除非当事人自愿，搜查（）和扣押（）通常需要提供适当理由并事先获得搜查令（）或传票（） 陷害（）是引诱或劝说他人进行非预谋（ ）犯罪； 诱捕（）为他人的预谋（ W ）犯罪提供机会； 证据的标识（）要正确； 证据应存储在合适地点，在存储、运输过程中得到适当保护（），未遭篡改和破坏。 法律、规章、调查及合规 版培训之八 关键知识领域 A. 理解国际范围内与信息安全相关的法律问题 A.1 计算机犯罪 A.2 许可证与知识产权（如版权、商标） A.3 进口/出口 A.4 跨境的数据流