事件管理
法律依据
§30(2) 第2项 BSIG – 安全事件处理
§32 BSIG – 重大安全事件报告义务
分级
| 级别 | 标准 | 响应时间 |
|---|---|---|
| 关键 | 数据丢失、服务完全中断、主动入侵 | 立即 |
| 高 | 部分中断、可能访问敏感数据、主动攻击 | < 4小时 |
| 中 | 功能受限、攻击失败、发现漏洞 | < 24小时 |
| 低 | 无直接影响的异常、无损害的政策违规 | 下一个工作日 |
事件响应流程
1. 检测与报告
- 监控系统、日志分析和人工检测
- 每位员工有义务立即报告可疑事件
- 集中向信息安全官(ISO)报告
2. 分析与评估
- 按严重程度分级
- 确定受影响的系统、数据和客户
- 评估:是否为§32 BSIG下的可报告事件?
3. 遏制
- 立即隔离受损系统
- 封锁受影响的凭证
- 服务中断时激活故障转移系统
- 修复前保全证据
4. 消除与恢复
- 消除攻击原因(恶意软件、被入侵账户)
- 数据丢失时从备份恢复
- 重新投入使用前验证系统完整性
- 轮换所有可能被入侵的凭证
5. 事后审查
- 根因分析的事后总结
- 记录并制定改进措施
- 必要时更新风险分析
§32 BSIG报告义务
| 级别 | 期限 | 内容 |
|---|---|---|
| 预警 | 24小时 | 事件类型、违法行为嫌疑、跨境影响 |
| 更新 | 72小时 | 严重程度、影响、入侵指标(IoC) |
| 最终报告 | 1个月 | 根因、采取的措施、跨境影响 |
CRA + NIS2双重报告
作为CRA制造商和NIS2实体,可能触发两项独立的报告义务:向ENISA的CRA报告(24h/72h/14d)和向BSI的NIS2报告(24h/72h/1个月)。CRA报告流程详情请参阅CRA文档。