今天的小故事

行走江湖一段時間，對於許多人喜愛用「換位思考」之名，行「情緒勒索」之實...
究竟是 換「誰」的位，思「誰」的考 ?
另一位擔任顧問的朋友分享，遇到一名客戶會議上大聲疾呼:「你們顧問都不會換位思考，不知道我們很忙嗎?不能多做一些，幫我們多分擔一些份內外的工作嗎?不然我們花錢請顧問幹嘛」，其實朋友很想回：「閣下怎麼不換位思考，顧問提供的服務，跟資安應該是由組織內部派人執行，怎麼會是由顧問變成貴單位的承辦呢?」，但在社畜島行走已久，朋友還是默默地做，然後看著很忙的客戶，下午三點就開始看影片跑社團，準時5點打卡走人，還在客戶的公司做客戶公司內部該做的文件...

以上故事純屬真實，如有雷同只是剛好，合約是諮詢服務，非人力派遣／人力駐點案...
(排除有些事務所喜歡找小朋友，諮詢案當成勞力案去客戶駐點，以致於其他客戶以為全部事務所都是派駐案...)

換位思考的前提是，應變指揮系統／資安管理系統 人員的角色與權責都定義好， 大家再來集思廣益，換位思考 透過清楚的角色權責演練不同人員的任務，才能看到 現場 或 指揮人員所看到的不同畫面。
參考：SP 800-61 Rev.2 Computer Security Incident Handling Guide

這篇還是建立在 第二章 指揮體系 下，來談談 NIST 中 對 應變處理流程的建議：

首先是 事件應變小組 (Incident Response Team, IR Team),可能組成如下：

再來是應變的流程，如下：
1.準備 > 2.檢測與分析 > 3.遏制、根除和恢復 > 4.事後活動

當然，團隊可能不只一組，應變處理流程會變成多組團隊，必須由一組協商Team(Coordinating Team)負責指揮協調。

參考資料：
SP 800-61 Rev.2 Computer Security Incident Handling Guide
NIST Incident Response: Your Go-To Guide to Handling Cybersecurity Incidents | AuditBoard