Proces zarządzania incydentem zgodnie z ISO 27001:2022

Proces obejmuje pełny cykl życia incydentu — od zgłoszenia, przez analizę i reakcję, aż po działania korygujące i doskonalenie. Zgodny z wymaganiami normy (m.in. A.5.24, A.5.25, A.5.26) oraz najlepszymi praktykami ISMS.

Identyfikacja i zgłoszenie incydentu

Cel

Szybkie wykrycie i zgłoszenie zdarzenia, które może naruszać poufność, integralność lub dostępność informacji.

Działania

• Każdy pracownik, dostawca lub system monitorujący może zgłosić incydent.
• Zgłoszenie trafia do Service Desk / SOC / zespołu bezpieczeństwa.
• Rejestracja incydentu w systemie (czas, źródło, opis, potencjalny wpływ).

Wyniki

• Wstępna klasyfikacja: alert, zdarzenie, incydent.
• Zarejestrowany incydent.

Klasyfikacja i priorytetyzacja

Cel

Określenie wagi incydentu i nadanie mu odpowiedniego priorytetu.

Kryteria

• wpływ na systemy i dane,
• wpływ na klientów i procesy biznesowe,
• zgodność regulacyjna (NIS‑2, DORA, RODO),
• możliwość eskalacji lub rozprzestrzenienia.

Wyniki

• Decyzja o eskalacji do zespołu reagowania.
• Klasyfikacja: niski / średni / wysoki / krytyczny.

Analiza i potwierdzenie incydentu

Cel

Zweryfikowanie, czy zdarzenie jest rzeczywistym incydentem oraz określenie jego zakresu.

Działania

• Analiza logów, alertów, systemów monitoringu.
• Weryfikacja integralności danych i systemów.
• Ustalenie wektora ataku, źródła i skali naruszenia.

Wyniki

• Potwierdzony incydent.
• Określony zakres i potencjalny wpływ.

Reakcja i ograniczenie skutków

Cel

Zatrzymanie incydentu, ograniczenie szkód i zabezpieczenie środowiska.

Działania

• Izolacja systemów lub kont użytkowników.
• Blokada ruchu sieciowego lub usług.
• Zastosowanie poprawek, zmian konfiguracji, wyłączeń.
• Komunikacja wewnętrzna i eskalacja zgodnie z procedurą.

Wyniki

• Incydent zatrzymany lub ograniczony.
• Zabezpieczone dowody do analizy powłamaniowej.

Odtwarzanie i przywrócenie działania

Cel

Przywrócenie normalnego funkcjonowania systemów i usług.

Działania

• Odtwarzanie danych z kopii zapasowych.
• Weryfikacja integralności systemów.
• Testy funkcjonalne i bezpieczeństwa.
• Stopniowe przywracanie usług.

Wyniki

• Systemy działają zgodnie z RTO/RPO.
• Potwierdzona stabilność środowiska.

Analiza powłamaniowa (post‑incident review)

Cel

Zrozumienie przyczyn incydentu i zapobieganie jego powtórzeniu.

Działania

• Analiza przyczyn źródłowych (root cause analysis).
• Ocena skuteczności reakcji.
• Identyfikacja luk w procesach, zabezpieczeniach i szkoleniach.

Wyniki

• Raport powłamaniowy.
• Lista działań korygujących i zapobiegawczych.

Działania korygujące i doskonalenie

Cel

Wzmocnienie ISMS i zapobieganie podobnym incydentom.

Działania

• Aktualizacja polityk, procedur i konfiguracji.
• Wdrożenie dodatkowych zabezpieczeń.
• Szkolenia pracowników.
• Aktualizacja rejestru ryzyk.

Wyniki

• Zamknięte działania korygujące.
• Zaktualizowany ISMS zgodny z ISO 27001.

Raportowanie i komunikacja

Cel

Zapewnienie zgodności regulacyjnej i transparentności.

Działania

• Raportowanie incydentów do organów (jeśli wymagane):
  • NIS‑2 (24h/72h/raport końcowy),
  • DORA (incydenty ICT),
  • RODO (72h),
  • KNF, UODO, CSIRT.
• Raporty dla zarządu i komitetów.
• Komunikacja z klientami i partnerami (jeśli dotyczy).

Wyniki

• Udokumentowany przebieg incydentu.
• Pełna zgodność raportowa.