Każdy incydent bezpieczeństwa informacji – od wycieku danych po awarię systemową – wymaga szybkiego działania i solidnej dokumentacji. Standard ISO 27001 w powiązaniu z ISO 27035 wyznacza jasne wytyczne: identyfikacja, raportowanie, reakcja i analiza (nauka). W tym wpisie krok po kroku omówimy te kluczowe etapy.
1. Identyfikacja
Pierwszym zadaniem jest odróżnienie zwykłego zdarzenia od incydentu bezpieczeństwa. Zgodnie z ISO 27001, incydent to „pojedyncze zdarzenie lub seria zdarzeń mogących zakłócić procesy biznesowe i zagrozić informacjom” . Na tym etapie zbieramy podstawowe dane: co się stało, kiedy, na jakim systemie i jakie potencjalne skutki.
2. Raportowanie
Zgłoszenie incydentu (do wewnętrznego CSIRT, menedżera bezpieczeństwa lub zespołu odpowiedzialnego) powinno nastąpić jak najszybciej – zgodnie z dyrektywą NIS2 i praktyką ISO 27001. Kluczowe elementy zgłoszenia obejmują:
– podstawowy opis zdarzenia,
– datę i czas wystąpienia,
– osoby kontaktowe i systemy zaangażowane,
– wstępną klasyfikację (niski/średni/wysoki priorytet).
3. Reakcja
Reakcja to serce procesu. Zespół odpowiadający na incydenty:
– Ocena priorytetu – jak duże jest ryzyko dla CIA (Poufność, Integralność, Dostępność) .
– Neutralizacja zagrożenia – blokowanie ruchu, izolacja systemu, uruchomienie backupu lub BCP/DRP.
– Analiza i śledztwo – zbieranie dowodów, determinacja źródła, ustalenie okoliczności (komu, kiedy, jak) oraz zabezpieczenie śladów.
4. Nauka i raport po-incydentalny
Po zakończeniu działań naprawczych przygotowuje się raport, który stanowi dokumentację i bazę wiedzy:
– opis incydentu i zastosowane działania,
– przeanalizowane ryzyka i skutki,
– wnioski i propozycje zmian (proceduralnych, technicznych, szkoleniowych),
– aktualizacja polityk i procedur zarządzania incydentami: np. eskalacji, komunikacji, list kontaktowych, zakresów odpowiedzialności.
ISO 27001 wymaga gromadzenia takich zapisów i dowodów dla audytu oraz dla zgodności z innymi przepisami (np. RODO, NIS2).
Jak udokumentować incydent zgodnie z ISO 2700:
1. Rejestr incydentów – unikalny numer, data, status, kategoria.
2. Raport szczegółowy – kto, co, gdzie, kiedy, jakie objawy, skutek.
3. Plan działań – kto i jak reagował, jakie narzędzia i czas.
4. Dowody – logi, zrzuty ekranu, backupy, protokoły śledcze.
5. Analiza wpływu – na operacje, reputację, zgodność prawną.
6. Rekomendacje – działania zapobiegawcze, przegląd polityk, szkolenia.
7. Zamknięcie i przegląd – finalne spotkanie po-incydentalne, zatwierdzenie zmian i aktualizacji dokumentacji przez zespół.
Proces zarządzania incydentami to pętla: identyfikacja → zgłoszenie → reakcja → analiza/nauka. ISO 27001 i ISO 27035 dostarczają ram, które:
– usprawniają szybkie wykrycie i eskalację,
– gwarantują formalny zapis działań i dowodów,
– wspierają kulturę ciągłego doskonalenia bezpieczeństwa.
Dobrze udokumentowany incydent to nie tylko zgodność z przepisami – to inwestycja w odporność organizacji na kolejne zagrożenia.
Skontaktuj się z nami – pomożemy Ci zadbać o bezpieczeństwo w Twojej organizacji.