2.1.3　事件响应小组

现在已经覆盖了基本领域，还需要组建事件响应小组。小组的形式将根据公司规模、预算和目的而有所不同。大型公司可能希望使用分布式模型，其中有多个事件响应小组，每个小组都有特定的属性和职责。此模型对地理位置分散、计算资源分布在多个区域的组织非常有用。其他公司可能希望将整个事件响应小组集中在单个实体中，负责处理任何位置的事件。在选择了使用的模式后，公司就可以着手招募员工加入小组。

事件响应流程需要具有广泛技术知识的人员，同时这些人员还需要在其他一些领域具有深厚的知识。挑战在于如何在这个领域找到同时具备知识深度和广度的人，这有时会使你需要雇佣外部人员来填补某些职位，甚至将事件响应小组的部分工作外包给不同的公司。

事件响应小组的预算还必须覆盖通过教育进行持续改进，以及购买适当的工具、软件和硬件。随着新的威胁出现，负责事件响应的安全专业人员必须做好准备，并接受过良好应对培训。许多公司未能保持员工队伍与时俱进，这可能会使公司面临风险。外包事件响应流程时，要确保所雇佣的公司负责不断地对员工进行这方面的培训。

如果计划将事件响应运营外包，请确保有定义明确的服务等级协议（Service-Level Agreement，SLA），该协议符合之前建立的严重性等级。在此阶段，假设需要24小时运营，那么还应该定义小组的覆盖范围。

在此阶段，需要定义：

·班次：24小时覆盖需要多少班次？

·小组分配：根据这些班次，每个班次谁来值班，包括全职员工和承包商吗？

·随叫随到流程：建议轮流安排技术和管理角色值班，以备不时之需。