來到第21天了耶~我快解脫了~
▉A.16 Information Security Incident Management 資訊安全事故管理
└ A. 16.1 Management of information security incidents andimprovements管理資訊安全事故與改善
• A.16.1.1 Responsibilities and procedures 責任與程序
• A.16.1.2 Reporting information security events通 報資訊安全事件
• A.16.1.3 Reporting information security weaknesses 通報資訊安全弱點
• A.16.1.4 Assess sment and decision of information securityevents 資訊安全事件評估與決策
• A.16.1.5 Response to information security incidents 因應資訊安全事故
• A.16.1.6 Leaming from information security incidents 從資訊安全事故中學習
• A.16.1.7 Collection of evidence 證據的收集

這個控制項，我覺得比較容易搞混的是『弱點』跟『事件』。
借用一下前面的觀念，弱點，是我們自已這方可以改善的(如果掃到有CVE…趕快解決它XD)
事件的話，簡單來說，如果被媒體披露，比如之前講到小米被立陶宛指控有資安風險這個，就算是事件了囉(我覺得啦)

然後，之前的措施，保存對應的log(控網項A.12運作安全的A.12.4 存錄及監視)，就是如果不幸發生資安事件的時候。
要拿的出自保的證據了。

最後就是，我Google『資安事件與鑑識處理』。。。因為沒遇過真的有發生事件，所以也就沒有推薦的廠商XD"
之前有聽過外部講師來講過資安鑑識的分享，反正就是自已沒有把握的話，還是找專業的來吧。
自已來，有時候就是把log弄的越弄越糟，這樣。

另一個觀念分享，叫做『短板效應或木桶理論』，簡單來說，資安的防禦，是看最薄弱的地方
(比如，就是有人手賤要亂點簡體網頁)。
那後面一連串發生的事情，會不會演變成資安事件，就很有可能了吧??

▉可參考法規：政府機關（構）資安事件數位證據保全標準作業程序

▉相關參考：心處理資安事故 管理與技術雙管齊下
https://www.netadmin.com.tw/netadmin/zh-tw/technology/1D3A525B60D0406C8E3C2D684A7E699E