名詞解釋

• 洩密（Breach）：機密資料遭到未經授權的存取或揭露，或是有權限的使用者以超出必要的目的存取機密資料。
• 事件（Event）：也被稱為活動事件，為網路或系統發生的任何可被觀察到的事件，可能是普通的資訊提醒、警告或嚴重的事件。
• 漏洞利用（Exploit）：利用特定系統漏洞的攻擊行為。
• 事故（Incident）：對系統或系統處理、儲存、傳輸的資料機密性、完整性或可用性（CIA）造成實際或潛在危害的事件。
• 入侵（Intrusion）：入侵者嘗試透過一種安全事件或不同事件的組合，對系統達成未經授權的存取。
• 威脅（Threat）：任何透過未經授權存取、破壞、揭露、修改資訊，或使服務中斷，達成對組織運作、資產、個人、其他組織或國家的系統造成不良影響的情況或是件。
• 漏洞：系統、安全設定、內部控制或實作時可能威脅來源利用的薄弱環節。
• 零日（Zero Day）：尚未被揭露、大眾普遍未知的系統漏洞，難以被發現或預防，但極有可能被利用。

目標

事故應變（Incident Response）的首要目標為保護生命安全，在做出任何決定時都應將安全擺在最優先的事項。而對於事件管理本身來說，目標為做好準備，包含制訂政策和應變計畫，以便使事件發生時能快速應變處理，也被稱為「危機管理」。事件（Event）指的是任何可被客觀行量的事件，大多數事件為無害的，但如果某個事件可能影響到組織的正常運作，那事件就會被稱為事故（Incident）。
事故應變程序的主要目的為減少事故對組織的影響，使組織能盡快恢復被中斷的業務，因此事故應變計畫只是營運持續管理（BCM）的其中一項內容而已。

事故應變計畫項目

• 準備
  • 制訂經組織管理經則核准的政策
  • 識別關鍵資料和系統
  • 對員工進行事故應變教育訓練
  • 成立事故應變小組
  • 練習識別事故（第一響應，First Response）
  • 確定角色與責任
  • 規劃與利害關係者的溝通與協調
  • 考慮備用聯絡方式
• 偵測與分析
  • 監控所有可能被攻擊的載體
  • 利用已知資訊與威脅情報分析事件
  • 確定事故應變的優先次序
  • 將事故文件標準化
• 遏止、消除與恢復：
  • 蒐集證據
  • 選擇適當的遏止策略
  • 識別攻擊者
  • 阻絕攻擊
• 事故後活動
  • 確定需要保留的證據
  • 記取經驗教訓

事故應變小組

在組織建立 SOC（Security Operations Center）的同時，也需要建立事故應變小組，由跨職能的成員組成，包含下列人員：

• 高階管理層
• 資安人員
• 法律人員
• 公關人員
• IT 人員

小組成員應接受事故應變的教育訓練，通常事故發生時由小組成員協助調查、評估損失、蒐集證據、報告事件並啟動恢復程序，並於後續參與補救與教育的工作，並分析事故根本原因。

資安事故專責團隊

許多組織涉有專門的資安事故應變小組，負責調查資安事故，可能被稱為電腦事故應變小組（Computer Incident Response Team，CIRT）、電腦安全事故應變小組（Computer Incident Response Teams，CSIRT），在事故發生時他們的職責有：

• 確定事故造成損失的金額與範圍
• 確定事故是否造成任何機密資訊洩漏
• 實施任何必要的恢復程序
• 監督實施新增任何必要的安全控制措施