如何确定安全事件响应过程

安全事件响应流程:* *步骤

为了保证数据泄露造成的损失最小，* * *方法是提前做好准备，* * *步骤是成立计算机安全事件响应小组(CSIRT)。这个组应该包括来自企业所有部门的员工:IT、法律、人力资源和公司经理等。在响应此安全事件的过程中，员工应该是高度可信的，因为他们可能会接触到敏感数据，这取决于安全事件的细节。

数据泄漏安全事件响应团队中的任何人都应该明白，他们工作的细节是保密的，他们必须在调查期间保护他们接触或存储的数据的安全。

有关如何设置CSIRT的其他详细信息，可从CERT、NIST、第一组织或当地安全事件响应组织处获取。

计算机安全事故响应小组如何协助制定数据泄漏响应计划？

根据常识，当经济萧条时期IT和信息安全员工数量减少时，应对安全事件的过程会更加困难。然而，它实际上可能是现有员工创造性思维和在企业内部各部门之间建立信任的机会。因此，让我们更详细地讨论一下可以参与计算机安全事件响应小组的各个部门的角色。每个CSIRT都应该包括核心成员和移动成员。例如，CSIRT的核心成员应该包括来自主要操作系统部门的代表、一名网络工程师和来自应用部门的员工。移动成员可以是可能涉及数据泄露的部门的成员。

显然，CSIRT应该包括系统管理员和应用程序支持人员。发生泄密事件，一般都是一群人得到通知，然后其他人会得到消息。他们可以检查日志以确定可疑事项，验证管理帐户的可靠性，验证应该在系统上运行的服务，为CSIRT核心成员提供系统访问或应用程序访问，以及许多其他基本任务。

其他主要参与者包括来自法律、法规遵从性、物理安全和公共关系部门的人员。法律法规部门的专家可以就法律、监管规则、合同要求或安全事故的其他方面提供指导；属于严格监管行业的公司，如医疗保健或金融，可以考虑将法律和合规代表加入CSIRT，作为其核心成员。精通物理安全的人可以提供进出企业的人的数据和其他方面的数据。他们甚至可能与执法机构有关系，并具有举报和调查犯罪的相关经验。公共关系部的成员可以帮助任何与媒体相关的活动。如果有必要通知有关方面，这些部门都可以提供帮助。

然而，当每个部门都缺乏人力时，可能很难说服他们派遣CSIRT代表或所有工作人员花费必要的时间来准备应对安全事件。为了说服其他部门派遣CSIRT代表，你必须让他们意识到他们的时间和专业知识将会受到高度重视。这意味着只有在必要的时候才会向他们求助，响应数据泄露事件所需的时间是最短的。他们应具有适合其角色的清晰明确的程序，以便为响应泄漏事件做好准备。根据数据泄露的严重程度，他们有时可能不需要参与。这时候就要和他们沟通，让他们知道不必要的时候不需要牵扯进来。

即使人手不足，应对数据泄露事件也至少应该包括一名核心CSIRT成员、一名具有系统知识的IT联系人和一名熟悉系统中包含的数据的人员。这些关键人员可以在确定受影响的数据、实施安全控制和响应应实施的措施方面提供专业知识。这些人也可以提出相关建议，防止此类安全事件再次发生。

* * *，需要进行事后分析来评估人员调整后CSIRT的有效性，因为在没有人力的情况下，对安全事件的响应可能与平时不同。应该优先考虑这种评估，特别是当这种由不同部门成员组成的CSIRT比通常的全员企业计划更有效时。在应对泄密事件时，将团队的参与情况告知公司管理层也是一个很好的做法，可以详细说明他们是如何将安全事件对企业的影响降低到* * *。