启动事件管理团队
您应确保您的企业对任何网络安全事件采用经高级管理层同意的全企业一致的方法。
为助您做到此点, 您应建立一个事件管理团队,其中应包括信息技术安全专家以及法律,监管合规,保安,人事和公关人员,还有受影响业务部门的代表。
以下是应考虑的关键问题:
团队成份:
- 如果企业已有一支专职的事件管理团队,立即向他们发出警报(受限于任何可能的利益冲突);
- 除非企业已有内部专家,您应快速考虑聘用外部专家,企业内的信息技术人员可能帮助识别一个合适的外部信息技术专家(参阅下列聘请外部安全专家时的主要考虑事项以获取更多信息);
- 决定企业是否需要其他专家(如法务会计,公关顾问或律师);
- 为尽快作出决定和取得内部的资源与合作,企业的事件管理团队应包括至少一名高级管理人员或董事;以及
- 企业的事件管理团队应另包括至少一名有权没收或拆开设备的人士,以改进监视可疑活动。
包含的其他各方:
视事件而定,作为事件解决方式的一部份, 您应考虑包含其他第三方,他们可能是以下各方:
- 维持企业网络托管帐户的公司;
- 软件厂商;
- 攻击的IP地址的拥有者;
- 可能帮助处理事件的全行业或其他主要的事件应急团队;以及
- 国家的政府,警察,或其他有关国家机关(参阅是否需要通知任何人?)
关健的运作讯息:
- 确保事件管理团队的每一个成员知道需要严格保密
- 确保清楚的責任和隶属关系
- 企业的事件管理团队必须批准所有的事件应急措施
- 企业可能需要建立第二支平行的团队以调查安全事件的原因和环绕安全事件的各个事件
聘请外部安全专家时的主要考虑事项:
- 您是否有任何“可靠介绍人”(通过您内部的信息技术部门或者通过其他外部第三方,例如法律或会计顾问),可以推荐合适的外部保安公司?
- 是否有任何官方或政府赞助的证明或认可的保安提供商? 这些保安提供商可以提供进一步指导,以及识别具有合适技能的可能人选。
- 外部和内部团队之间的预期职责分工是什么?您是否在很大程度上依赖外部团队,或者外部团队仅是解决方案的一个组成部分?
- 您如何防止敏感信息扩散,同时确保外部专家可以获取足够信息(通常使用多个数据库和/或系统)以完成其任务?
- 如何提出外部团队成员对企业内部了解不足问题?
- 如何处理或应对该事件?是否需要在多个地点开展工作?
- 如何确保内部员工掌握足够的事件回应知识?
