2.1.2　创建事件响应流程

虽然事件响应流程会因公司及其需求的不同而有所不同，但在不同的行业中，事件响应流程的一些基本方面并无差异。

图2-2显示了事件响应流程的基本领域。

图2-2　事件响应流程及其基本领域

创建事件响应流程的第一步是建立目标，换句话说，就是回答问题：流程的目的是什么？虽然这看起来可能是多余的，因为依据它的名称似乎不言而喻，但重要的是，你必须非常清楚流程的目的，以便每个人都知道该流程试图实现的目标。

一旦定义了目标，就需要处理范围问题。同样，可以回答这样一个问题，在本例中是：这一流程适用于谁？

虽然事件响应流程通常在公司范围内有效，但在某些情况下也可以局限于部门范围。因此，是否将其定义为公司范围的流程，这一点很重要。

每家公司对安全事件可能有不同的看法，因此，必须对安全事件的构成有一个定义，并提供示例以供参考。

除定义之外，公司还必须创建自己的词汇表，其中包含所用术语的定义。不同的行业会有不同的术语集，如果这些术语与安全事件相关，则必须将其记录在案。

在事件响应流程中，角色和职责至关重要。如果没有适当等级的权威，整个过程就会面临风险。

当考虑以下问题时，事件响应中权威等级的重要性就显而易见了：谁有权没收一台电脑以进行进一步调查？通过定义具有此权威等级的用户或组，可以确保整个公司员工都知道这一点，并且如果发生事件，他们不会质疑执行策略的调查组。

另一个需要回答的重要问题是关于事件的严重性。什么可以用于定义危急事件？危急程度决定了资源分配，这就引出了另一个问题：当事件发生时，你将如何分配人力资源？应该将更多资源分配给事件“A”还是分配给事件“B”？

为什么？这些只是一些应该回答的问题示例，以便定义优先级和严重程度。要确定优先级和严重程度，还需要考虑业务的以下方面：

·事件对业务的功能影响：受影响的系统对业务的重要性将直接影响事件的优先级。受影响系统的所有利益相关者都应该意识到这一问题，并在确定优先事项时发表自己的意见。

·受事件影响的信息类型：每次处理个人身份信息（Personal Identifiable Information，PII）时，你的事件将具有高优先级。因此，这是事件发生时首先要核实的因素之一。

·可恢复性：在初步评估之后，可以估计需要多长时间才能从事件中恢复过来。根据恢复时间的长短，再加上系统的危急程度，这可能会将事件的优先级提高到很高的严重程度。

除了这些基本领域外，事件响应流程还需要定义如何与第三方、合作伙伴和客户交互。

例如，假设发生了一起事件，在调查过程中发现客户的PII被泄露，公司将如何向媒体披露这一点？在事件响应流程中，与媒体的沟通应与公司的数据泄露安全政策保持一致。在新闻稿发布之前，法律部门也应该参与进来，以确保声明不引发法律问题。在事件响应流程中，参与执法的程序也必须一并记录。在记录这一点时，请考虑物理位置，即事件发生的位置、服务器所在的位置（如果合适的话）以及状态。通过收集这些信息，将更容易确定管辖权并避免冲突。