NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

综合事故响应团队是一支由专家组成的团队，负责评估、记录和响应事故，以便组织的系统和网络能够快速恢复，并实施必要的控制措施以防止未来的事故。事故响应团队的成员包括取证和恶意代码分析员、工具开发人员、系统安全与隐私工程师以及实时操作人员。事件处理能力包括对证据进行快速的取证保存，以及对入侵进行分析和响应。对于一些组织而言，事件响应团队可以是跨部门的实体。一个集成的事件响应团队有助于信息共享，并允许组织人员（例如开发人员、实施者和运营人员）利用团队对威胁的知识，实施防御措施，使组织能够更有效地阻止入侵。此外，综合团队有助于快速检测入侵，开发适当的缓解措施，并部署有效的防御手段。例如，当检测到入侵时，综合团队可以迅速制定适当的响应措施供操作员执行，将新事件与以往入侵的信息进行关联，并增强正在进行的网络情报开发。综合事件响应团队能够更有效地识别与操作节奏或特定任务和业务功能相关的对手战术、技术和程序，并以不会干扰这些任务和业务功能的方式定义响应措施。事件响应团队可以分布在组织内部，以提高其能力的韧性。