異常事件之回應(Incident Response)
1 組織應制定異常事件發生時之回應政策。
2 組織應有一常規編組,能對異常事件進行立即之回應與公開說明。
3 對於異常事件應制定回報之層級表,以便對於不同嚴重程度之異常事件作出不同層級之回報。
4 對於異常發生時,需記錄所有發生過程,並在事後進行必須檢討與改善。
稽核紀錄
1 稽核事件(Auditable Events):
1.1 組織需先依據營運所可能遭遇之風險進行風險評鑑,再依據風險評鑑及任務/業務所需,決定資訊系統必須具備稽核特定事件之能力。
1.2 組織內所有的資訊系統皆必須有產生使用過程記錄之功能。
1.3 需要進行稽核之記錄應包括特權功能被使用之情況以及特權帳號執行之記錄。
1.4 組織必須稽核各資訊系統之事件清單必須足以支持資安事故之事後調查:
1.4.1 組織需確保稽核事件記錄不被任何人或系統進行異動或刪除,即便是組織授權進行亦不允許。
1.4.2 組織需確保稽核事件記錄之保存期間符合法令規範,例如:個人資料保護法要求相關記錄需保留五年。
1.5 組織需指派專業人員定期審查及更新稽核事件清單,並將特權功能之執行包含在資訊系統稽核事件清單中。且確保不被任何方式異動或刪除。
1.6 稽核事件必須能歸責到某一人員或個體(Accountability)。
2 稽核記錄內容(Content of Audit Records):
2.1 稽核記錄必須能用以呈現事件之原貌,故需包括下列記錄:
2.1.1 事件之類型。
2.1.2 事件發生之日期與時間。
2.1.3 事件發生之地點。
2.1.4 事件發生之來源或原因。
2.1.5 事件發生後之結果。
2.1.6 與事件相關之人員或事物。
3 稽核記錄的監控、分析及報告Audit Review, Analysis, and Reporting:
3.1 組織需指派專業人員定期審查及分析資訊系統稽核紀錄,以發現不適當或不尋常的行為,並且將報告發現之問題提交予指定之人員。
4 稽核資訊之保護(Protection of Audit Information):
4.1 所有資訊系統產生之稽核資訊產時之時間必須是一致。
4.2 組織需確保稽核資訊不被未授權之存取、修改與刪除。組織可以將稽核資訊記錄於僅能一次性寫入之媒體。
4.3 所有稽核資訊應被適當進行備份。
4.4 所有稽核資訊之存取需留下必要之記錄。
4.5 稽核資訊必須被儲存在安全且受管制之環境。
參考資料:NIST SP 800-53