[Day28]ISO 27001 附录 A.16 资讯安全事故管理

「请问近期有相关资安事件吗？」
「没～有～」
「那请问你们怎麽确认没有资安事件？」
「因为我们没有收到告警通知啊～」
「可以帮我确认一下系统的告警设定吗？」

「嗯，好哦。」

A.16 资讯安全事故管理

A.16.1 资讯安全事故及改善之管理

目标：确保对资讯安全事故之管理的一致及有效作法，包括对安全事件及弱点之传达。

A.16.1.1 责任及程序

应建立管理责任及程序，以确保对资讯安全事故做迅速、有效及有序之回应。

• 组织要有正式的资讯安全事件的角色责任与通报的程序，确认通报程序书及版本，再来会确认事件的分级的各个分工处理，要通知到谁，由谁负责做什麽，如果程序书有紧急联络人也要确认人员异动或厂商异动是否一并更新。
• 如果组织适用资安法，要特别小心通报的时限，会有相应法规的要求。

A.16.1.2 通报资讯安全事件

应循适切之管理管道，尽速通报资讯安全事件。

• 发生资安事件要依流程进行通报，近期的通报记录，记录下时间、事由、排除方式及後续追踪。
• 如果都没有发生资安事件，可以透过进一步讨论同业相关的事件来确认防御措施。

A.16.1.3 通报资讯安全弱点

应要求使用资讯系统及服务之员工及承包者，注意并通报任何系统或服务中所观察到或可疑之资讯安全弱点。

• 通常这里会列出系统上的告警、主管机关的要求、原厂通报、TWCERT/CC 或 近期检查的资安报告。
  TWCERT/CC 台湾电脑网路危机处理暨协调中心：https://www.twcert.org.tw/tw/mp-1.html

• 发现资讯安全弱点也要进行通报，包含但不一定全是技术性的，例如：有未载识别证的人走到管制区域。

A.16.1.4 对资讯安全事件之评监及决策

应评监资讯安全事件，并决定是否将其归类为资讯安全事故。

• 依程序分级进行识别：确认通报的资讯安全事件(Event)进行审查是否为资讯事故(Incident)。
• 当然也有机会是误判，进行排除异常的补充说明即可。

A.16.1.5 对资讯安全事故之回应

应依文件化程序，回应资讯安全事故。

• 所以发生资安事故，则进行必要之回应，依程序书所述进行决策，甚至要对影响的时间与程序，再提升通报的长官层级

A.16.1.6 由资讯安全事故中学习

应使用获自分析及解决资讯安全事故之知识，以降低未来事故之可能性或冲击。

• 事故处理完成後，进行根因分析，防止再度发生。
• 依事故等级确认高阶长官是否已知其事故，并提供相关决策或资源

A.16.1.7 证据之收集

组织应定义及应用程序，以识别、收集、获取及保存可用作证据之资讯。

• 如有必要性需进行证据之收集，尽可能保存其完整性，做为监管调查与监识之用

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

夜书(Night Book)

受骗阅读一本古书，洛拉琳召唤了一个恶魔进入她的家。Night Book 是一部互动的神秘惊悚片，由 The Complex、Five Dates 和 Maid of Sker 的出版商在锁定状态下制作。

Loralyn 在她家远程上夜班，现场将视频通话从英语翻译成法语，然後再返回。目前怀孕，丈夫在远方工作并照顾她患有精神病的父亲，她拼命努力让家人团聚和安全 - 但她准备牺牲谁来生存？未婚夫、孩子、她的父亲还是她自己？

Night Book 是一部具有分支叙事和多个结局的线性互动电影。

Steam：https://store.steampowered.com/app/1477920/Night_Book/