CIO IT經理人電子報C201902期,如看不到完整內容,請點此連結
Please click HERE, if you can't read message below.

 
 

事件回應計畫六大步驟

儘管我們投入大量的精力試圖避免安全破壞,但是那不總是行得通。一套穩固的事件回應計畫,不僅可以縮限損害、降低復原時間,還可以限制相關成本。

事件回應計畫可以為你未來投入的安全努力,提供一個穩固的基礎,以下是如何開始擬定的六步驟。

一、分配清楚的職責

先找出誰應該監督事件回應計畫的發展。無論是資訊長還是其他人,他們都需要通知所有相關的利害關係人、收集意見,並分配職責。這一點的核心是草定「安全事件回應小組」(security incident response team,SIRT),該小組將負責偵測、分類、通知、分析、阻遏、移除、記錄及事件後續活動。

當發展事件回應計畫之後,你可能還需要資深管理階層、律師、監管機關、人力資源部門、執法機構、網路顧問等各方的參與,可能也需要關公司加入。因為如果你想確保事件發生時能獲得迅速有效率的解決,會有許多變動的環節需要加以協調。

二、定義你的風險容忍度

這裡並不存在全方位適用的答案。你必須找出什麼是重要資料、你公司經商所需的關鍵功能,並將你的資源優先放在它們上面。被視為無關緊要的誤報與警報可能會導致警覺疲勞,一旦這種情況發生,事件會開始被忽視、被遺漏。

抱持務實的態度,並在利害關係人的協助下找出你的企業面臨的最大風險,很是重要。完整找出你的關鍵功能與營運。

三、事件分類

定義職責與風險後,你可以接著進行事件分類。當事件發生時,你需要能夠對它加以分類,如此才能準確知道需要採取什麼行動。

高風險事件可能導致重要系統無法使用,或失去對機密或限制等級資訊的掌控。中等風險或許是安裝了可能導致不久後會受傷害的惡意軟體。而低風險可能是中等風險的必備條件,例如,有人未能遵守政,點擊電子郵件中的網絡釣魚連結。

分類風險讓你可以安排它們優先順序,但是你還需要鉅細靡遺地記錄每個事件,如此手邊才有可供後續調查與稽核的基礎。

四、訂定明確的指示

有一套能找出並分類事件的系統,接下來你可以訂定明確的程序,詳細列出涉入事件中的每個人應該做什麼。首先,從報告規則開始著手,除此之外,還包括設定明確的調查時間範圍、修復問題所需步驟等等。有了明確的程序,才會消除懷疑或不良決策存在的空間。

你的程序應說明,當發現可疑事件時需要採取什麼作為。在向適當的人員報告後,SIRT可以調查並分析潛在的影響範圍,包括哪些帳戶、設備與系統已遭入侵。在它獲得有效控制之前,你必須知道它已經擴散多遠。在這個階段,避免刪除可能揭示事件根本原因,並幫助你防止再度發生的潛在證據,至關重要。

檢視你為程序草擬的明確指示,當做是活生生的文件。它們正是你當下對於如何發現並控制事件的最佳推測。

五、優先移除與復原

定出你風險容忍度的其中一環是找出關鍵系統。你應該全面備份這些讓你事業可以順利運作的關鍵系統,一旦發生事情,才可以迅速讓它們再次運作起來。至於企業的其它功能,你得加以分流,以找出移除與復原的適當順序。

隔離受感染的事業單位,並確保利害關係人能獲知實際可行的復原時間,也非常重要。說到恢復正常營運,記住你必須知道所謂「正常狀態」是指什麼。如果你沒有預先記錄下來,你可能很難度過這個階段。

六、從每個事件中學習教訓

事件回應計畫不是刻在石頭上的,每個事件都有可供學習的機會。一旦處理完事件,確認根本原因、分析、記錄、衡量並再度測試。評估用到的事件回應程序,以及它是如何進行的。這道流程確保你最終可以提出建議,做為未來再度發生時應該如何更好回應與防範的依據。

如果你使用事件分析,尋找你偵測、通知程序、阻遏、移除或流程的任何其它部分的缺陷或缺失,你便可以運用該資訊來加強你的事件回應計畫。它是一種可以幫助你持續改善的制度,可以逐日大幅提升你的安全。

(文/Michelle Drolet 譯/黃貝玲)

加入CIO IT經理人雜誌粉絲團
line加入好友
 
 

封面專題
數位轉型從頭做起
數位轉型的五大要務
金融業 銀行在人工智慧的發展
食品加工 自動查核是可行之道
資訊服務 英邁改善顧客體驗

風雲人物
福壽實業董事長洪堯昆
經濟部工業局副局長楊志清

掌握脈動
編輯室札記:政府應掌握醫療數位轉型契機
名家專欄:從CES看2019年科技業商機
名家專欄:AI時代的深度學習
名家專欄:「去中心化」恐為許多惡行背書
人力風向球:數位主管六大不可或缺的能力
新聞速寫
資安戰情室

特別報導
2019年願景與挑戰
資安長之必須
金融科技發展策略 宜因地制宜
落實科技政策 產學聯盟不可或缺
十個資料分析成功案例

產業瞭望
量販通路 WPS Office讓大潤發OA運作更順暢
物流業 UPS用物聯網和分析來應對市場競爭
餐飲連鎖 人工智慧虛擬助理加入戰局
能源/醫療/教育 用數位化來解決全世界最艱鉅的問題

精選文章
顧客旅程地圖--必須掌握的新劇本
SCOR是改善供應鏈管理的模型
建立零信任資訊安全模式的五大步驟
資料外洩代價知多少?

原生現場
AI時代台灣機會
CIO資安學院第1堂課

※其他期數目錄查詢請點選此處


(美國IDG集團獨家授權國際中文版)

關於CIO與我們連繫取消訂閱

Copyright© FLAG INFORMATION CO., LTD. 旗訊科技(股)公司. All rights reserved. 著作權所有,禁止擅自轉貼節錄