SEC10-BP08 建立從事件中學習的架構 - 安全支柱
實作指引 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC10-BP08 建立從事件中學習的架構

實作經驗教訓的架構和根本原因分析能力,不僅有助改善事件回應能力,還有助防止事件重複發生。透過學習每個事件,您可以協助避免重複相同的錯誤、披露或錯誤設定,不僅能夠改善安全狀態,還可以盡可能縮短因可預防情況而損失的時間。

未建立此最佳實務時的曝險等級:

實作指引

實作經驗教訓是非常重要的,其可在高層級實現以下幾點:

  • 什麼時候開設經驗教訓課程?

  • 經驗教訓課程中包含哪些內容?

  • 經驗教訓課程的進行方式?

  • 這個課程的參與者以及參與方式?

  • 如何識別待改善之處?

  • 您將如何確保有效地追蹤和實作待改善之處?

此架構不應該針對或責怪個人,而應該專注於改善工具和流程。

實作步驟

除了前述所列的高層級結果之外,確保您提出正確問題以從流程中獲得最大價值 (即協助您找到可行改善之處的資訊) 非常重要。考慮這些問題,有助您發起經驗教訓的討論:

  • 事件是什麼?

  • 第一次識別事件的時間?

  • 事件的識別方式?

  • 哪些系統對活動發出提醒?

  • 涉及哪些系統、服務和資料?

  • 具體發生的事件?

  • 哪些方面做得很好?

  • 哪些方面做得不好?

  • 哪個流程或程序失敗或未能擴展以回應事件?

  • 在以下幾個領域有哪些可以改善之處:

    • 人物

      • 需要聯絡的對象實際上是否有空,並且聯絡人清單是最新的嗎?

      • 人們是否缺少有效回應和調查事件所需的培訓或能力?

      • 適當的資源是否已準備就緒且可供使用?

    • 流程

      • 是否遵循流程和程序?

      • 是否已記錄並提供這類事件的流程和程序?

      • 是否缺少必要的流程和程序?

      • 回應人員是否能夠即時存取所需的資訊以回應問題?

    • 技術

      • 現有的提醒系統是否能有效地識別活動,並據以發出提醒?

      • 如何減少 time-to-detection 50%?

      • 是否需要改善現有提醒,或是需要針對此類事件建立新的提醒?

      • 現有的工具是否允許對事件進行有效的調查 (搜尋/分析)?

      • 可以做什麼來協助加快這類事件的識別速度?

      • 可以做什麼來協助避免這類事件再次發生?

      • 負責改善計畫的人是誰,您將如何測試是否已實作此計畫?

      • 實作和測試其他監控或預防性控制和流程的時間表為何?

這份清單並不詳盡,但可作為起點,幫助您識別組織和企業的需求,以及如何分析這些需求,以便最有效地從事件中學習並持續改善安全狀態。最重要的是透過將經驗教訓納入事件回應流程,文件和利害關係人期望的標準部分。

資源

相關文件: