Day21_控制项(A16资讯安全事故管理)

来到第21天了耶~我快解脱了~
▉A.16 Information Security Incident Management 资讯安全事故管理
└ A. 16.1 Management of information security incidents andimprovements管理资讯安全事故与改善
• A.16.1.1 Responsibilities and procedures 责任与程序
• A.16.1.2 Reporting information security events通 报资讯安全事件
• A.16.1.3 Reporting information security weaknesses 通报资讯安全弱点
• A.16.1.4 Assess sment and decision of information securityevents 资讯安全事件评估与决策
• A.16.1.5 Response to information security incidents 因应资讯安全事故
• A.16.1.6 Leaming from information security incidents 从资讯安全事故中学习
• A.16.1.7 Collection of evidence 证据的收集

这个控制项，我觉得比较容易搞混的是『弱点』跟『事件』。
借用一下前面的观念，弱点，是我们自已这方可以改善的(如果扫到有CVE…赶快解决它XD)
事件的话，简单来说，如果被媒体披露，比如之前讲到小米被立陶宛指控有资安风险这个，就算是事件了罗(我觉得啦)

然後，之前的措施，保存对应的log(控网项A.12运作安全的A.12.4 存录及监视)，就是如果不幸发生资安事件的时候。
要拿的出自保的证据了。

最後就是，我Google『资安事件与监识处理』。。。因为没遇过真的有发生事件，所以也就没有推荐的厂商XD"
之前有听过外部讲师来讲过资安监识的分享，反正就是自已没有把握的话，还是找专业的来吧。
自已来，有时候就是把log弄的越弄越糟，这样。

另一个观念分享，叫做『短板效应或木桶理论』，简单来说，资安的防御，是看最薄弱的地方
(比如，就是有人手贱要乱点简体网页)。
那後面一连串发生的事情，会不会演变成资安事件，就很有可能了吧??

▉可参考法规：政府机关（构）资安事件数位证据保全标准作业程序

▉相关参考：心处理资安事故 管理与技术双管齐下
https://www.netadmin.com.tw/netadmin/zh-tw/technology/1D3A525B60D0406C8E3C2D684A7E699E