保护受控未分类信息 Rev 3

与事件相关的信息可以通过多种途径获取，包括审计监控、网络监控、物理访问监控、用户和管理员报告以及报告的供应链事件。有效的事件处理能力需要多个组织实体之间的协调，包括任务和业务负责人、系统负责人、人力资源办公室、物理和人员安全办公室、法律部门、运营人员以及采购办公室。

记录事故包括保存每起事故的记录、事故状态以及其他与取证和评估事故详情、趋势和处理相关的必要信息。事件信息可以从多种来源获取，包括网络监控、事件报告、事件响应团队、用户投诉、供应链合作伙伴、审计监控、物理访问监控以及用户和管理员报告。03.06.01 提供了适合监控的事件类型的信息。所报告的事件类型、报告内容和时效性以及报告主管机关，都反映了适用的法律、总统行政命令、指令、法规、政策、标准和指南。事件信息为风险评估、安全评估的有效性、采购的安全要求以及技术产品的选择标准提供依据。组织提供的事件响应支持资源包括帮助台、援助小组、用于创建和跟踪事件响应工单的自动化工单系统，以及在需要时提供的取证服务或消费者赔偿服务的访问权限。

组织制定和实施协调一致的事件响应方法非常重要。组织的使命和业务职能决定了事件响应能力的结构。作为事件响应能力的一部分，组织会考虑与外部组织（包括外部服务提供商和供应链中其他相关组织）进行协调和信息共享。

组织测试事件响应能力，以确定其有效性并识别潜在的弱点或不足。事件响应测试包括使用清单、演练或桌面演习以及模拟。事件响应测试可以包括评估事件响应对组织运营、组织资产和个人的影响。定性和定量数据可以帮助确定事件响应流程的有效性。

事件响应培训与组织人员的指定角色和职责相关，以确保此类培训包含适当的内容和细节。例如，普通用户可能只需要知道如何识别事件或应联系谁；系统管理员可能需要额外的培训以了解如何处理事件；事件响应人员可能会接受有关数据收集技术、取证、报告、系统恢复和系统修复的专项培训。事件响应培训包括用户在识别和报告来自外部和内部来源的可疑活动方面的培训。用户的事件响应培训可能作为03.02.02的一部分提供。可能导致事件响应培训内容更新的事件包括事件响应计划测试、对实际事件的响应、审计或评估结果，或适用法律、行政命令、政策、指令、法规、标准和指南的变更。