222
事故管理、度量指標與事件回應計畫的準備
事先準備好事故管理與回應管理的準備,不但能降低企業資安事件風險外,對於企業恢復正常業務營運的韌性能力也具有顯著的影響。
事件管理準備
- 企業必須決定適合自身需求的結構和營運,每項的計畫活動與資源,具體情況取決於企業自身的特性與需求,例如行業屬性、策略目標、系統配備、員工程度與解決事故意願等。
- 開發與管理需要識別關鍵流程、定義實務和培訓員工。
- 事故管理各項計劃活動和資源不盡相同。例如,計劃管理(計劃、培訓、測試)、營運活動(流程、程序、協議)、戰術活動(證據收集、分類、初步分析)實務以及各種活動。
- 事故管理成功的結果,需要採用與企業保持一致的方法,以確保當發生事件時,能夠極小化對企業造成的影響和損失。
Richard 表示基礎設施是部署事件管理的重中之重,同時工具與技術亦然。他建議事故管理團隊 ( IMT,Incident Management Team )可以運用各種技術,例如事件故管理系統 ( IMS ) 、終端偵測和回應 ( EDR )、擴展偵測和回應 ( XDR ) 以及託管偵測和回應 ( MDR )。