資訊長觀點 : ICANN資安事件處理機制

2015.11.09

我們一部分的工作就是提供安全與穩定的資訊服務給社群,ICANN資訊部門很謹慎處理資訊安全事件,並將資安事件進行多項檢測。我們瞭解資安事件是不可能完全防範,多年來在不同領域不斷發展資安事件可以證明這一點。但是我可以向你們確認我們會主動地降低資安事件可能的衝擊。以下介紹我們的處理流程。

我們有專屬的團隊來負責資安事件。ICANN CIRT (電腦緊急應變小組)包含了資訊安全人員、資訊維運工程師、以及ICANN法務與公關部門代表。一旦通報資安事件,CIRT應變小組會接手資安事件的處理,同時訂定細部工作計畫,包含事件聲明、團隊組合、降低風險、回復正常維運、公開說明、問題記錄以及經驗學習。在特定資安事件,應變小組可能會聯繫外部專家、增加技術或法律專家。如果資安事件涉及個人資料(Personal Identifiable Information; PII)外洩、或是敏感性的資料外洩,我們會尋求外部安全資源或是顧問來協助處理這類的事件並確認ICANN的處理程序是否恰當。

管理上相當重要的程序是與ICANN利益關係人進行溝通:員工、董事與社群、或是任何受影響的個人。我們確定三個實務原則 (1)董事負責公司治理,因此在資安事件發生時,董事會在第一時間被告知 (2)員工與社群也需要儘速被告知,我們的公關部門會向內部與外部提出說明 (3) ICANN承諾開放與透明原則,我們會在這個原則下與社群進行溝通。ICANN配合法規需求提供資安事件相關資料,而且比多數企業資訊揭露的要求做的更多。

ICANN承諾將持續改進資安事件的管理,CIRT對於過去事件的經驗學習中也會得到更多經驗。我們也會尋求安全與穩定性諮詢委員會(SSAC)所提供的意見。並且符合產業要求的標準與規範,李如NIST SP800-61規範以及 CIS 關鍵性安全控管。應變小組成員透過教育訓練、認證與經驗分享不斷的增進技能與專業知識。應變小組目前已經成為FIRST.org成員之一。ICANN資安員工不斷獲得安全獎項來強化他們的能力來偵測、避免與回應資安事件。

 

資料來源: ICANN

文章分類 ICANN