|
提前計劃對網(wǎng)絡(luò)事件的響應(yīng)����。事件可能對組織的成本、生產(chǎn)力和聲譽(yù)產(chǎn)生巨大影響���。但是����,良好的事件管理會在事件發(fā)生時減少影響��。能夠檢測并快速響應(yīng)事件將有助于防止進(jìn)一步的損害��,減少財務(wù)和運營影響��。在媒體聚光燈下管理事件將減少聲譽(yù)影響。最后�����,應(yīng)在事件發(fā)生后學(xué)到的知識將意味著可以為未來的任何事件做好更好的準(zhǔn)備�����。
有什么好處���?有效的事件管理可減輕網(wǎng)絡(luò)事件的影響經(jīng)過實踐的計劃將幫助您在真實事件的壓力下做出正確的決定管理良好的響應(yīng)�����,貫穿始終的清晰溝通����,與股東和客戶建立信任從事件中學(xué)習(xí)確定響應(yīng)能力的差距和問題
該怎么辦���?
準(zhǔn)備響應(yīng)計劃和能力確保在制定事件響應(yīng)計劃時有合適的人員參與。可能包括 IT 安全團(tuán)隊�����,但也將包括法律、人力資源和公共關(guān)系人員����,以及供應(yīng)商和供應(yīng)商。高級管理層需要支持關(guān)鍵決策和要素����,例如對嚴(yán)重事件的媒體處理。 確保事件響應(yīng)計劃與災(zāi)難恢復(fù)���、業(yè)務(wù)連續(xù)性和危機(jī)管理計劃相關(guān)聯(lián)��,并得到相關(guān)功能的支持��。當(dāng)事件嚴(yán)重到足以對業(yè)務(wù)造成重大中斷和/或損害時�,這些就會發(fā)揮作用�����。 確保定義和理解每個人的角色和職責(zé)�,并提供適當(dāng)?shù)呐嘤?xùn)。任命并授權(quán)特定個人(或事件響應(yīng)供應(yīng)商)處理事件�,并為他們提供明確的職權(quán)范圍以做出決策和管理可能發(fā)生的任何事件。確保關(guān)鍵人員的聯(lián)系方式在發(fā)生事故時隨時可用���。 考慮如何檢測事件���。響應(yīng)計劃應(yīng)與所有檢測方法保持一致�����,包括員工���、供應(yīng)商和合作伙伴的日志記錄、監(jiān)控和報告�����。其他第三方(例如進(jìn)行事件調(diào)查或威脅研究的組織)以及偶爾的政府也可能向組織報告事件���。所有警報都應(yīng)發(fā)送給負(fù)責(zé)管理它們的團(tuán)隊��,以進(jìn)行評估和分類�。 制定上報給高級管理層的標(biāo)準(zhǔn)�����,以及需要采取哪些措施才能擴(kuò)大響應(yīng)規(guī)模����。考慮什么對特定組織最重要,以確定事件的嚴(yán)重性�,以及應(yīng)該如何確定其優(yōu)先級。 確保員工了解可能為特定類型的事件準(zhǔn)備的任何手冊����,并準(zhǔn)備好與可能需要參與的任何第三方共享這些手冊。可以聯(lián)系可以授權(quán)關(guān)鍵決策(例如使客戶數(shù)據(jù)庫或網(wǎng)站脫機(jī))的員工至關(guān)重要�。如果主要聯(lián)系人不可用,請考慮確定副手���。技術(shù)人員(即執(zhí)行此類操作的人員)必須知道誰可以提供授權(quán)����,以及如何以及何時聯(lián)系他們���。這適用于供應(yīng)商以及內(nèi)部員工��。 確定技術(shù)團(tuán)隊可以根據(jù)最高業(yè)務(wù)風(fēng)險自主行動的特定情況�,以及在哪些情況下采取早期遏制行動可能會減少特定事件的影響�。 確保計劃包括基于組織持有的數(shù)據(jù)類型和數(shù)量的法律或監(jiān)管報告要求的基本指南,以及涵蓋整個事件生命周期的流程大綱�����。示例計劃如下所示。
應(yīng)急計劃演練在事件期間做出適當(dāng)?shù)姆磻?yīng)(并清晰地溝通)在事件的遏制階段不要被卷入過度反應(yīng)��;在決定合適的行動方案之前�,可能需要收集更多信息。過度反應(yīng)會造成比事件本身更大的損害 - 在有針對性的攻擊的情況下���,攻擊者可能會做出反應(yīng)或?qū)⒆约焊畹芈裨诰W(wǎng)絡(luò)中���。考慮可能采取的任何行動的影響,并與同事討論��。 在整個事件中與利益相關(guān)者和客戶溝通��。清晰的溝通有助于最大限度地減少事件的短期影響,并有助于與客戶建立信任�,減少事件的長期影響�。 仔細(xì)記錄事件響應(yīng)、做出的決定����、采取的行動、捕獲(或丟失)的數(shù)據(jù)��,因為這對于運動后的審查非常有用�。如果需要向監(jiān)管機(jī)構(gòu)提供回應(yīng)證據(jù),則尤其如此���。
將事件中的經(jīng)驗教訓(xùn)融入組織改進(jìn)中
每次事故后更新響應(yīng)計劃��。使用事件來反映企業(yè)的安全性 - 了解事件是如何發(fā)生的以及什么可以阻止它��。事后審查應(yīng)反饋到響應(yīng)計劃和更廣泛的組織中�����。 特別考慮是否有任何信息對回答有很大幫助���,但很難或不可能獲得���。制定計劃,在任何未來攻擊之前收集這些數(shù)據(jù)����,并將其添加到日志記錄和監(jiān)控策略中。 不要限制自己只尋找出錯的地方��。還要考慮響應(yīng)的哪些方面效果良好���,以及原因����。這可以提供有關(guān)如何改進(jìn)未來計劃的見解�。 參考來源:英國國家網(wǎng)絡(luò)安全中心官網(wǎng)
網(wǎng)絡(luò)安全的 10 個步驟之身份鑒別和訪問控制
網(wǎng)絡(luò)安全的 10 個步驟之風(fēng)險管理 網(wǎng)絡(luò)安全的 10 個步驟之資產(chǎn)管理
網(wǎng)絡(luò)安全的 10 個步驟之漏洞管理 網(wǎng)絡(luò)安全等級保護(hù):來一份定級指南思維導(dǎo)圖學(xué)定級
網(wǎng)絡(luò)安全等級保護(hù):等級保護(hù)對象的定級過程
|
