安全事件响应计划应该成为企业内部一项战略活动。然而即使一个企业在遭遇了安全违规之后，安全事件响应计划仍然没有获得应有的重视。

    在ISO27000体系建设中，编制我们的安全架构与运营时，我们确定一个高效的安全事件响应计划应该具备七条原则。采用以下原则，你将能更好的应对威胁形势并能从安全事件中实现更有效的恢复。

    1. 自我意识

    让安全事件响应团队意识到自身的能力和约束是关键。成功取决于对计划准备的客观认识水平。当寻求自我意识，安全事件响应团队必须避免高估自己对某个威胁的响应能力，并清楚在哪里可以获得帮助。

    2. 认清技术的优点和局限性

    在诸如RSA大会之类的行业活动展会现场，到处都充斥着一个普遍的市场信息：下一个伟大的技术将会解决你所有面临的问题。但高级威胁防护不等于一个产品，也没有一个孤立的解决方案可以实现。尽管如此，企业技术投资的比重还是高于安全事件响应计划的投资。根据我们福雷斯特安全调查，当一个安全违规事件发生之后，25%的企业增加了用于购买安全违规预防技术的费用，然而只有23%的企业增加了用于安全事件响应计划自身的费用。

    3. 建立符合实际的报告和衡量机制

    许多企业使用错误的度量机制来测量他们安全事件响应计划的性能。侦查扫描活动不等于安全事件，就像防病毒（AV）定义更新无法测量安全事件响应能力的成功与否一样。有效的安全事件响应团队使用更有意义的业务指标。一旦你已经建立了一个通用的安全事件定义，你就需要测量检测它所用的时间、抑制它扩散所用的时间和补救所用的时间。攻击者进入你的网络后你要花多久时间才能检测到它？一旦检测出来，你要花多久时间才能抑制住攻击者？你要花多久时间才能完成对该安全事件的补救工作？这些测量都是以结果为导向输出的度量机制。当企业提升了员工的技能，部署了新的安全控制措施，这些测量数字就会有所改善。

   4. 让计划可扩展

    当处理全球性公司的安全事件时，安全事件响应的可扩展性就变成非常关键的因素。很多人会对世界上最大的公司作了错误的假设，仅仅因为它们拥有最成熟的技术和能力。事实上，全球性公司的规模和自身复杂性导致安全事件响应特别具有挑战性。正如一位咨询公司的安全事件响应总监所说：“个头越大，摔得越重”。流程和监督对于确保安全事件响应计划的可扩展性来说至关重要。

    5.内外协作

    安全事件响应团队不是孤立的在工作；他们是一个更大社区的一部分。鉴于企业面对的绝大多数威胁形势和操作上的限制，这些团队必须工作在一个更大的社区内才能成功。成功的团队能建立良好的IT关系，认识到顾问的重要性，并能在可信合作伙伴之间共享威胁信息。

    6.鼓励高管参与

    在过去，安全专家们在为博得业务领导的关注而努力奋斗。但过度聚焦在战术安全度量指标上，不能与业务需求保持一致，以及“不存在的部门”的名声，已经遏制了业务领导对安全的兴趣。然而根据福雷斯特调查显示，最近几年发生的高调的网络攻击事件已经提升了70%本次调查受访企业的高管的安全意识。业务领袖们正从《华尔街周刊》和《金融时报》的头版阅读着这些网络攻击的文章。现在是时候利用这个优势去鼓励那些已经准备好听你的见解的高管门参与其中。

    7.自主运作

    安全事件响应团队的工作就是打击攻击者，他们必须感觉到有权作出关键决定，而不是必需花时间去寻求对他们行动的审批。当数据正从你的网络向外泄漏，损失是以秒来计算的，你必须建立一个启用自主权的框架。为了启动自主权，安全事件响应团队必须制定清晰的交战规则定义，避免出现微观管理和向上操纵指挥系统现象。最后，你必须确保高层管理层支持安全事件响应分析师们做出的决定——哪怕这个响应决定最后被证明是错的。错误会发生，但一旦他们这样做了，安全领导必须支持这些前线的分析师们的决定。安全事件响应参与者们必须能感觉到管理层将会支持他们的决定，当做了错误的决定，安全事件响应团队不会因此成为替罪羊。

  

安全事件响应计划应该成为企业内部一项战略活动。然而即使一个企业在遭遇了安全违规之后，安全事件响应计划仍然没有获得应有的重视。

    在ISO27000体系建设中，编制我们的安全架构与运营时，我们确定一个高效的安全事件响应计划应该具备七条原则。采用以下原则，你将能更好的应对威胁形势并能从安全事件中实现更有效的恢复。

    1. 自我意识

    让安全事件响应团队意识到自身的能力和约束是关键。成功取决于对计划准备的客观认识水平。当寻求自我意识，安全事件响应团队必须避免高估自己对某个威胁的响应能力，并清楚在哪里可以获得帮助。

    2. 认清技术的优点和局限性

    在诸如RSA大会之类的行业活动展会现场，到处都充斥着一个普遍的市场信息：下一个伟大的技术将会解决你所有面临的问题。但高级威胁防护不等于一个产品，也没有一个孤立的解决方案可以实现。尽管如此，企业技术投资的比重还是高于安全事件响应计划的投资。根据我们福雷斯特安全调查，当一个安全违规事件发生之后，25%的企业增加了用于购买安全违规预防技术的费用，然而只有23%的企业增加了用于安全事件响应计划自身的费用。

    3. 建立符合实际的报告和衡量机制

    许多企业使用错误的度量机制来测量他们安全事件响应计划的性能。侦查扫描活动不等于安全事件，就像防病毒（AV）定义更新无法测量安全事件响应能力的成功与否一样。有效的安全事件响应团队使用更有意义的业务指标。一旦你已经建立了一个通用的安全事件定义，你就需要测量检测它所用的时间、抑制它扩散所用的时间和补救所用的时间。攻击者进入你的网络后你要花多久时间才能检测到它？一旦检测出来，你要花多久时间才能抑制住攻击者？你要花多久时间才能完成对该安全事件的补救工作？这些测量都是以结果为导向输出的度量机制。当企业提升了员工的技能，部署了新的安全控制措施，这些测量数字就会有所改善。

   4. 让计划可扩展

    当处理全球性公司的安全事件时，安全事件响应的可扩展性就变成非常关键的因素。很多人会对世界上最大的公司作了错误的假设，仅仅因为它们拥有最成熟的技术和能力。事实上，全球性公司的规模和自身复杂性导致安全事件响应特别具有挑战性。正如一位咨询公司的安全事件响应总监所说：“个头越大，摔得越重”。流程和监督对于确保安全事件响应计划的可扩展性来说至关重要。

    5.内外协作

    安全事件响应团队不是孤立的在工作；他们是一个更大社区的一部分。鉴于企业面对的绝大多数威胁形势和操作上的限制，这些团队必须工作在一个更大的社区内才能成功。成功的团队能建立良好的IT关系，认识到顾问的重要性，并能在可信合作伙伴之间共享威胁信息。

    6.鼓励高管参与

    在过去，安全专家们在为博得业务领导的关注而努力奋斗。但过度聚焦在战术安全度量指标上，不能与业务需求保持一致，以及“不存在的部门”的名声，已经遏制了业务领导对安全的兴趣。然而根据福雷斯特调查显示，最近几年发生的高调的网络攻击事件已经提升了70%本次调查受访企业的高管的安全意识。业务领袖们正从《华尔街周刊》和《金融时报》的头版阅读着这些网络攻击的文章。现在是时候利用这个优势去鼓励那些已经准备好听你的见解的高管门参与其中。

    7.自主运作

    安全事件响应团队的工作就是打击攻击者，他们必须感觉到有权作出关键决定，而不是必需花时间去寻求对他们行动的审批。当数据正从你的网络向外泄漏，损失是以秒来计算的，你必须建立一个启用自主权的框架。为了启动自主权，安全事件响应团队必须制定清晰的交战规则定义，避免出现微观管理和向上操纵指挥系统现象。最后，你必须确保高层管理层支持安全事件响应分析师们做出的决定——哪怕这个响应决定最后被证明是错的。错误会发生，但一旦他们这样做了，安全领导必须支持这些前线的分析师们的决定。安全事件响应参与者们必须能感觉到管理层将会支持他们的决定，当做了错误的决定，安全事件响应团队不会因此成为替罪羊。