RC 復原
RC 還原受資安事件影響的資產和營運
ID 識別組織的資產與資訊安全風險
PR 採取保護措施降低風險、可能性、影響
DE 持續監控和分析,及時發現淺在事件
RS 確定發生後根據事件回應計畫採取行動
RC 從事件中及時恢復正常運作降低影響
事件復原計畫執行 (RC.RP)
事件復原溝通 (RC.CO)
事件復原計畫執行
(RC.RP)
RC.RP-01
一旦從事件回應流程啟動
就執行事件回應計畫的
復原部分
目的
核心
措施
一旦滿足復原啟動標準,立即啟動事件復原
事件回應與復原團隊需緊密合作,確保順利
優先復原關鍵系統和服務,逐步恢復其他的
例子
RC.RP-02
選擇、界定範圍、
排定優先順序和
執行復原動作
目的
核心
措施
評估受影響系統和服務確定需採取復原動作
根據業務需求和資源限制制定復原優先順序
復原前先進行測試和驗證確保有效和安全性
例子
RC.RP-03
在使用備份和
其他復原資產進行復原前
先驗證其完整性
目的
核心
措施
用備份進行復原前,先驗證其完整和可用性
使用防毒軟體和檔案完整性檢查工具,
確保復原資產沒有被惡意軟體感染或竄改
定期測試備份和復原流程,確保需要時可用
例子
RC.RP-04
考慮關鍵任務功能和
資安風險管理
以建立事件後的運作常態
目的
核心
措施
評估事件對組織影響並更新風險評估和策略
加強系統和網路的安全性,修補已知的漏洞
檢討事件回應和復原流程,找出需改進地方
例子
RC.RP-05
驗證已復原資產的
完整性、復原系統和服務
並確認正常運作狀態
目的
核心
措施
對復原後的系統進行功能、安全和效能測試
監控系統和網路的活動,及早發現異常行為
與使用者確認系統和服務是否正常運作
例子
RC.RP-06
應用判斷
事件復原結束的標準
並完成事件相關文件
目的
核心
措施
確認所有受影響的系統和服務都已復原
驗證復原後環境符合組織的安全策略和標準
完成事件報告、復原報告和教訓總結報告
例子
以下關於 RC.RP-01「一旦從事件回應流程啟動就執行事件回應計畫的復原部分」的敘述,何者為 錯誤 ?
A) 事件復原計畫的啟動標準應與事件回應計畫的啟動標準一致
B) 事件復原團隊應在事件回應流程啟動後,立即開始評估受影響系統和服務,並規劃復原步驟
C) 事件復原是事件回應計畫中不可或缺的一部分, 應與事件回應行動密切配合
D) 事件復原計畫的執行必須等到事件完全控制後才能開始, 以免影響事件控制的效率
答案
D
以下哪項措施最符合 RC.RP-02「選擇、界定範圍、排定優先順序和執行復原動作」的核心概念?
A) 組織應建立一個標準化的事件復原流程, 適用於所有類型的事件, 以提高事件復原的效率
B) 組織應根據事件的具體情況和組織的優先順序, 選擇最有效的復原動作, 並根據業務需求和資源限制調整復原的優先順序
C) 組織應優先復原所有受影響的系統和服務, 以確保業務運作的完整性
D) 組織應在執行任何復原動作之前, 先取得高層管理者的批准, 以確保決策的正確性
答案
B
以下哪個情境最能說明 RC.RP-03「在使用備份和其他復原資產進行復原前, 先驗證其完整性」的重要性?
A) 公司內部員工不小心刪除了一個重要資料庫, 但資料庫有定期備份
B) 公司網站遭受 DDoS 攻擊, 導致服務中斷, 但公司有備援網站可以快速恢復服務
C) 公司系統遭到勒索軟體攻擊, 部分資料被加密, 公司使用備份進行資料復原, 但復原後發現備份資料也遭到了感染, 導致復原失敗
D) 公司內部員工將機密資料洩漏給競爭對手, 公司採取法律行動追究責任
答案
C
RC.RP-04「考慮關鍵任務功能和資安風險管理, 以建立事件後的運作常態」的核心概念為何?
A) 事件後的環境可能與事件前不同, 需要調整資安策略和措施, 以確保組織的持續營運能力和安全性
B) 事件復原的目標是將所有系統和服務恢復到事件前的狀態, 以確保業務運作的連續性
C) 組織應在事件後立即進行全面性的安全評估, 以找出所有潛在的漏洞和威脅
D) 組織應將事件復原的責任委託給外部供應商, 以減輕內部團隊的負擔
答案
A
根據 RC.RP-06「應用判斷事件復原結束的標準, 並完成事件相關文件」的敘述, 以下哪一項不屬於判斷事件復原結束的標準?
A) 確認所有受影響的系統和服務都已恢復, 並通過測試驗證其功能和性能符合預期
B) 確認所有參與事件回應和復原的人員都已獲得適當的休息和獎勵, 以表彰他們的貢獻
C) 驗證復原後的環境符合組織的安全策略和標準, 並已採取必要的措施降低事件再次發生的風險
D) 完成事件報告、復原報告和教訓總結報告, 並將相關資訊和經驗教訓分享給相關人員
答案
B
iThome鐵人賽
看影片追技術