制定并实施适当的活动,以识别网络安全事件的发生。 |
- 测试和更新检测流程——开发和测试用于检测网络和物理环境中未经授权的实体和行为(包括人员活动)的流程和程序。工作人员应了解他们在组织内部以及向外部治理和法律机构进行检测和相关报告方面的角色和责任。
- 维护和监控日志——日志对于识别企业计算机和应用程序中的异常情况至关重要。这些日志记录事件,例如系统或帐户的更改以及通信渠道的启动。考虑使用可以聚合这些日志并从预期网络行为中寻找模式或异常的软件工具
- 了解您的企业预期的数据流——如果知道企业预期使用什么数据以及如何使用数据,就更有可能注意到意外发生的时间——而在网络安全方面,意外从来都不是一件好事。意外数据流可能包括从内部数据库导出并退出网络的客户信息。如果您已将工作外包给云或托管服务提供商,请与他们讨论他们如何跟踪数据流和报告,包括意外事件。
- 了解网络安全事件的影响——如果检测到网络安全事件,企业应该迅速而彻底地了解影响的广度和深度。寻求帮助。与适当的利益相关者交流有关活动的信息将有助于在合作伙伴、监督机构和其他人(可能包括投资者)方面保持良好地位,并改进政策和流程。
制定并实施适当的活动,以便对检测到的网络安全事件采取行动。 |
- 确保响应计划得到测试——测试响应计划以确保每个人都知道他们在执行计划中的责任更为重要。组织准备得越充分,响应就越有效。这包括了解任何法律报告要求或所需的信息共享。
- 确保更新响应计划——测试计划(和事件期间的执行)不可避免地会揭示需要改进的地方。务必根据吸取的教训更新应对计划。
- 与内部和外部利益相关者协调——重要的是要确保企业的响应计划和更新包括所有关键利益相关者和外部服务提供商。他们可以为改进规划和执行做出贡献。
制定并实施适当的活动,以维持恢复计划,并恢复因网络安全事件而受损的任何能力或服务。 |
