RS 回應
RS 針對已確認事件採取行動以控制事件減輕影響
ID 識別組織的資產與資訊安全風險
PR 採取保護措施降低風險、可能性、影響
DE 持續監控和分析,及時發現淺在事件
RS 確定發生後根據事件回應計畫採取行動
事件管理 (RS.MA)
事件分析 (RS.AN)
事件回應報告
與溝通 (RS.CO)
事件抑制(RS.MI)
事件管理 (RS.MA)
RS.MA-01
一旦宣布事件後即與
相關第三方協調
執行事件回應計畫
目的
核心
措施
一旦確認發生事件,立即啟動事件回應計畫
與內部團隊(如資安、法務、公關團隊)協調回應行動
聯絡外部事件回應團隊或執法機關尋求協助
與受影響的第三方(如客戶、合作夥伴)溝通事件資訊
例子
RS.MA-02
事件報告分類和驗證
目的
核心
措施
建立事件分類和嚴重程度分級標準
使用自動化工具初步篩選和分類事件報告
指派專人審查事件報告,驗證其真實性和準確性
從事件嚴重程度和組織影響決定是否啟動事件回應計畫
例子
RS.MA-03
事件分類和優先排序
目的
核心
措施
根據事件類型、影響範圍、受影響系統、資料敏感度等因素對事件進行分類
根據事件的潛在損失、恢復時間、法規要求等因素評估事件的優先順序
建立事件處理隊列,並根據優先順序動態調整
例子
RS.MA-04
需要時升級或提升事件
目的
核心
措施
定義資安事件的升級標準
事件嚴重程度
事件影響範圍
事件處理進度
建立明確的事件升級流程,以及與相關人員的溝通管道
確保高階主管了解事件升級流程並能及時提供必要支持
例子
RS.MA-05
應用啟動
事件恢復的標準
目的
核心
在開始事件恢復之前,需要確保事件已得到有效遏止
也要確認事件不會對恢復工作造成負面影響
措施
定義事件恢復啟動標準
攻擊是否停止
系統是否隔離
途徑是否關閉
在滿足預設標準後,才能啟動事件恢復流程
持續監控事件狀態,若再次發生應立即停止且重新評估
例子
以下關於 RS.MA-01「一旦宣布事件,即與相關第三方協調執行事件回應計畫」的敘述,何者為錯誤?
A) 在確認發生事件並宣布後,應立即啟動事件回應計畫,並協調內外部資源,以有效控制事件並降低損害。
B) 與第三方協調執行事件回應計畫,包含外部事件回應團隊、執法機關、受影響的客戶和合作夥伴等。
C) 所有報告的事件都需要全面啟動事件回應流程。
D) 在事件發生時,組織應快速、協調一致地採取行動,並可能需要與第三方合作,才能有效地控制事件。
答案
C
以下哪項措施最符合 RS.MA-02「事件報告分類和驗證」的核心概念?
A) 組織應定義事件升級標準,例如基於事件的嚴重程度、影響範圍、處理進度等。
B) 組織應使用自動化工具初步篩選和分類事件報告,並指派專人審查事件報告,驗證其真實性和準確性。
C) 組織應根據事件類型、影響範圍、受影響系統、資料敏感度等因素對事件進行分類。
D) 組織應在成功遏止資安事件後,確認受感染系統已完全隔離,並且備份資料完整可用,滿足事件恢復啟動標準後,開始進行系統重建和資料恢復工作。
答案
B
以下哪一組監控目標最符合 RS.MA-03「事件分類和優先排序」的原則?
A) 資料洩漏、DDoS 攻擊和網站竄改
B) 員工電子郵件、網際網路瀏覽記錄
C) 網路流量、防火牆日誌
D) 實體門禁系統日誌、監視攝影機畫面
答案
A
以下哪個情境最能說明 RS.MA-04「需要時升級或提升事件」的重要性?
A) 公司內部員工因為操作失誤,導致重要資料被刪除。
B) 公司網站遭受 DDoS 攻擊,導致服務中斷,但攻擊規模小,影響範圍有限。
C) 某事件最初評估為一般事件,但隨著調查的深入,發現影響範圍遠超預期,且攻擊手法複雜,事件處理團隊決定將事件升級,請求高層管理人員提供資源和決策支持。
D) 公司內部員工因為不滿公司政策,將機密資料洩漏給競爭對手。
答案
C
根據 RS.MA-05 的定義,以下哪一項設定不屬於應用啟動事件恢復的標準?
A) 攻擊活動是否停止。
B) 受影響系統是否已隔離。
C) 攻擊途徑是否已封閉。
D) 不需要跟相關第三方協調執行事件回應計畫。
答案
D