事故處理要能更趨近完美,必須仰賴最早期的事前準備、專業的團隊,以及足夠的資源等綜合因素的整體配合。本文雖僅著重在資訊安全事故處理方面,但其中有許多觀念,同樣也適用於企業事故處理或營運持續管理等方面的應變步驟。
通常第一個步驟是去複製一份聯絡清單。在等待一個大概的時間(可能是10分鐘)後,發起方應該將該事故升級到較高層級,例如事故回應團隊的經理人。若這位經理人未在特定時間內回應,那麼該事故就應該再度被升級到更高的管理層級,而且這樣的流程應該要持續到有人回應。
事故通報
再來,談一下事故通報這檔事。在事故被分析而且被排定優先順序後,事故回應團隊需要去通報適當的關注方,這樣每個需要涉入的人才會扮演他們的角色。事故回應政策應該要包含事故通報的相關條文:至少要有通報對象、通報時機點等。而實際上這些規範會因為不同企業或不同產業而有所不同,但通常必須要通報的對象可能有:資訊長、資安長、系統管理者、人資長、公關長、法律遵循部門(如果該事件涉及法律層面的話)、執法單位(如果必要的話)。
在事件處理過程中,事故回應團隊可能需要提供現況更新給某些關注方,在某些情況下,甚至是要將進度更新給全組織。事故回應團隊應該也要規劃並準備多種溝通方式(例如透過紙本、電子形式,甚至無線電等),並且在事故發生時選擇適當的方法。
可能的各種溝通方式包含:電子郵件、網站(內部網站、外部網站等)、傳統電話,以及紙本型態(例如張貼於布告欄、張貼於辦公大樓或辦公室門口等)。
結語
本文章著重在資訊安全事故處理,但有許多觀念亦適用於企業事故處理或營運持續管理。而事故處理要能更趨近完美,必須仰賴最早期的事前準備、專業的團隊、足夠的資源等綜合因素。未來有機會再與大家分享事故處理之事前準備、封鎖事故現場、復原事故、善後等議題。
<本文作者:黃信智,目前為久揚科技服務有限公司營運總監,提供資安管理、隱私保護、營運持續管理等顧問諮詢服務、以及滲透測試、源碼檢測等資安服務。擁有CEH、ECIH、CISSP、ISO 27001 LA等資安證照。>