信息安全事件管理二

组织应使用商定的信息安全事件和事故分类规范评估每个信息安全事态以确定该事态是否该归于信息安全事件。事件的分类和优先级可以帮助标识事件的影响和范围。当组织中有信息安全响应团队(ISIPiT)时，评估和决策宜被转发至该团队确认和再评估。应详细记录评估和决策的结果，供日后参考和验证。

所有信息安全事件应按照既定规程应急响应预案件，通过任命的联络人、组织内相关人员和外部团体对信息安全事件予以响应。

组织应该安排专职人员统计监测信息安全事件的类型、数量和造成的损失。应使用分析和解决信息安全事件中得到的经验来减少未来相似事件带来的影响。

对于可以作为电子证据的信息，组织应定义和使用可以标识、收集、获取和保存该信息的规程。通常的，电子证据手机规程应根据不同介质、设备及其状态如开机或关机提供鉴定、收集、采集和保存证据的过程。如果可以，应寻找执法机关人员和具有电子证据取证工具的资格认证或其他相关手段，以加强保存证据的价值。证据可以超越组织或管辖区域的边界。在这样的情况下，应确保组织有资格去收集要求的信息作证据。还应考虑不同国家地区对于取证的要求，以使证据跨越相关管辖区域被允许进入的机会最大化。