分享資安事件的類型，但資安的理想狀況「沒有消息就是好消息」，能盡量不要有資安事件就不要有。

但DEF事件很多該怎辦呢？同事回報說我的電腦中毒了、昨天能登今天不能登是不是被盜用了...等。
這麼多事要怎麼處理呢？

就跟一二三線的機制一樣，出包了可以再提高資安事件等級，而非一通報就只能固定某等級的資安事件處理，一線有報、二線有審、三線有確認，萬一不幸鬧大上報了都有紀錄佐證：我們有追蹤中

而機關內的資安通報也是如此，面對這些小事件，難以判斷到底是誤判還是純粹使用者疏失

因此我們可以先不需資安通報，改用異常事件處理，所謂異常就是日常

面對的是成千上萬的使用者，其中某個使用者昨天改新密碼今天登不進去，在懷疑他的電腦是不是被入侵

我們有兩個選擇：
1.可以幫他找系統承辦人：調出LOG確認是否有更改密碼紀錄，但這些動作需要勞心勞力還要麻煩到其他業務承辦
最後的結果就是回覆使用者說你自己忘記的喔。

2.可以做個異常事件紀錄並且再觀察：回覆使用者已記錄他的問題，請他再更改一次並這邊會留存紀錄，之後還有問題再幫處理。

如果頻繁發生再請同仁做掃毒或是另行處理，就我自己服務的對象通常可以解決不再來問。

例如，Outlook使用者一段時間後可能因pst檔案毀損，導致無法正常登入或收發信件
這類解決方法很簡單，就是重新設定新的pst檔即可

這對於一般使用者可能需要花2~3年的信件累積才會發生的問題
但對於管理者角度來看，可能每週都有類似的問題發生需處理

因此可以藉由異常事件處理就是把這些簡單事件做個紀錄
當下不必特別勞心費神處理這類資安事件

如果持續有異常也有資料可以追蹤，比如多次發生在同一位時可以警覺是否有APT的問題

資安不僅是技術，更是一門涉及人的藝術。如何平衡各方的期待，確保使用者、同仁和上級機關的信心，同時也保持自己的心情平靜，這就是資安管理者所需的經驗和智慧。