19、信息安全事件调查、响应与监控实践

信息安全事件调查、响应与监控实践

1. 信息安全事件调查与响应概述

在信息安全领域，应对安全事件是一项至关重要的任务。当面临安全事件时，我们有多种途径可以获取帮助。比如，可以借助提供事件响应服务的信息安全咨询公司。通常，我们需要提前付费，以便这些机构在事件发生时能够随时响应，每次事件所使用的时长会从我们的“余额”中扣除。此外，根据所在国家的不同，还可以获得各政府部门的支持。

不过，也有一些组织有能力自行进行调查和响应，无需外部帮助。下面我们来详细探讨一下安全调查的相关要点。

1.1 安全调查的启动原则

并非所有安全事件都需要进行调查。记录导致事件发生的单个或多个事件固然重要，但并不意味着要将每个记录的事件都升级处理，让整个组织参与或联系执法部门。关于哪些事件需要报告，可以参考当地法规，或者警察、国防部队、网络安全部门（如英国的NCSC）等提供的资源。

作为信息安全专业人员，需要承担以下责任：
- 区分事件等级 ：明确哪些是 minor incident（小事件），哪些是 major incident（重大事件）。
- 确定响应策略 ：针对小事件和重大事件，制定相应的响应措施。
- 遵守法律法规 ：确保遵守所有国家或地区的法律法规，包括向适当的执法部门报告事件。

1.2 重大事件的示例

重大事件可能包括以下几种情况：
|事件类型|具体描述|
| ---- | ---- |
|犯罪行为|如盗窃或对组织财产的破坏|
|