知識內容

• 事件回應報告
  與溝通 (RS.CO)

  • 針對資安事件發生期間與之後，與內、外部利益關係人的有效溝通重要性

• 事件回應報告
  與溝通 (RS.CO)

  • RS.CO-02
    內部和外部利害關係人被告知事件

    • 目的

      • 及時透明地與相關方溝通資安事件的詳細資訊

      • 以便其採取適當的應對措施，並維護組織聲譽

    • 核心

      • 事件通報不僅僅是資訊傳遞，需要能識別需求

      • 根據利害關係人需求提供清晰準確易懂的資訊

    • 措施

      • 發生資料洩漏遵循組織的洩漏通知流程如通知洩漏客戶

      • 根據合約要求通知業務合作夥伴和客戶

      • 根據事件回應計畫和管理層批准的標準
        將事件通知執法機構和監管機構

    • 例子

      • 某公司發生資料洩漏事件，影響部分客戶個資
        公司啟動事件回應計畫，根據法規和公司政策
        及時通知受影響的客戶、監管機構與合作夥伴
        說明事件的發生經過、影響範圍、已採取措施
        以及後續的補救方案，以確保資訊透明度，並盡力降低事件的負面影響。

  • RS.CO-03
    與指定的內部和外部
    利害關係人共享資訊

    • 目的

      • 確保資安外提供資訊給需知資訊的利益關係人
        以便其參與事件處理、提供協助或做出決策

    • 核心

      • 資訊共享需要遵循一定的原則，確保資訊的機密性、完整性和可用性，避免資訊洩漏或濫用

    • 措施

      • 根據回應計畫和資訊共享協定共享資訊

      • 自願與資訊共享和分析中心 (ISAC) 共享有關攻擊者觀察到的策略、技術和流程 (TTP) 的資訊，並刪除所有敏感資料

      • 當發生惡意內部人員行為時通知 HR 部門

      • 定期向高階主管更新重大事件的狀態

      • 遵循合約定義規則和協定，
        在組織及其供應商之間共享事件資訊

      • 協調組織及關鍵供應商間危機溝通方法

    • 例子

      • 某組織遭受網路攻擊後，資安團隊與外部資安公司合作進行事件分析。在分析過程中，團隊與資安公司共享部分事件相關網路流量記錄、系統日誌等資訊，以便資安公司更好地了解攻擊者的行為和攻擊手法。同時，資安團隊也與組織內部的管理層、法務部門等利害關係人
        共享事件的最新進展和應對措施。

小試身手

• 以下關於 RS.CO-02「內部和外部利害關係人被告知事件」的敘述，何者為正確？

  • A) 只有當事件影響到組織聲譽時，才需要通知利害關係人。

  • B) 通知利害關係人的主要目的是為了符合法規和合約的要求。

  • C) 在通知利害關係人時，應考量其對資訊的需求，提供清晰易懂的內容。

  • D) 組織應盡可能避免公開事件資訊，以免造成恐慌。

  • 答案

    • C

      • RS.CO-02 強調事件通報需要根據不同利害關係人的需求，提供清晰、準確、易懂的資訊。選項 A 和 D的說法過於絕對， 選項 B 僅僅是通知目的的一部分。

• 以下哪一項行動不符合 RS.CO-02 的核心概念？

  • A)在公司網站發布新聞稿，說明資料外洩事件的影響範圍和補救措施。

  • B)向受影響的客戶發送電子郵件，告知其個人資訊可能已經外洩，並提供相關的應對建議。

  • C)使用技術術語撰寫事件報告，詳細說明攻擊者的攻擊手法和入侵路徑，並提交給資訊安全專家分析。

  • D)與合作夥伴召開緊急會議，說明勒索軟體攻擊事件對供應鏈的潛在影響，並討論應對方案。

  • 答案

    • C

      • RS.CO-02 強調事件通報需要根據不同利害關係人的需求，提供清晰、準確、易懂的資訊。使用技術術語撰寫的事件報告， 不易於一般利害關係人理解， 因此不符合 RS.CO-02 的核心概念。 選項 A, B, D 的溝通對象和內容都符合 RS.CO-02 的要求。

• 以下哪一項措施最能體現 RS.CO-03「與指定的內部和外部利害關係人共享資訊」的核心精神？

  • A)在事件發生後， 立即刪除所有相關日誌和記錄， 以防止資訊外洩。

  • B)僅與高層管理人員共享事件資訊， 以避免造成不必要的恐慌。

  • C)與事件回應團隊共享所有事件相關資訊，包括受影響系統的詳細設定和漏洞資訊。

  • D)在內部網路論壇上公開討論事件細節， 以便所有員工都能了解事件的來龍去脈。

  • 答案

    • C

      • RS.CO-03 的目的是在確保資安的同時，與需要知道的利害關係人共享事件相關資訊，以便其參與事件處理、提供協助或做出決策。 事件回應團隊需要掌握詳細的事件資訊才能有效地應對事件，因此選項 C最符合 RS.CO-03 的核心精神。選項 A會阻礙事件調查和分析， 選項 B的資訊共享範圍過於狹窄， 選項 D則可能導致資訊洩漏和擴大事件影響。

• 某公司發生資料外洩事件，影響了部分客戶的信用卡資訊安全。根據 RS.CO-02 和 RS.CO-03，公司應優先採取下列哪項行動？

  • A) 立即通知受影響的客戶，告知其信用卡資訊可能已經外洩，並提供防範信用卡盜刷的建議。

  • B) 不須將事件資訊分享給其他同業。

  • C) 不用將事件報告提交給主管機關，說明事件的發生經過和已採取的應變措施。

  • D) 在公司內部封鎖所有與事件相關的訊息，避免員工洩漏資訊。

  • 答案

    • A

      • 根據 RS.CO-02 ，當發生資安事件時，內部和外部利害關係人應依法律、法規或政策的要求收到通知。

• RS.CO-03 強調在與利害關係人共享資訊時，需要遵循一定原則。以下哪一項原則不包括在內？

  • A)確保資訊的機密性

  • B)確保資訊的完整性

  • C)確保資訊的可用性

  • D)確保資訊的時效性

  • 答案

    • D

      • RS.CO-03 強調資訊共享需要遵循一定的原則，確保資訊的機密性、完整性和可用性，避免資訊洩漏或濫用。 資訊的時效性雖然也很重要， 但並非 RS.CO-03的核心原則。