# SEC10-BP01 确定关键人员和外部资源
<a name="sec_incident_response_identify_personnel"></a>

 确定内部和外部人员、资源和法律义务，来协助组织应对事件。

 **期望结果：**您有一份关键人员名单、他们的联系信息以及他们在应对安全事件时扮演的角色。您可以定期审查这些信息并进行更新，以便分别从内部工具和外部工具的角度反映人事变动。在记录这些信息时，您需要考虑所有第三方服务提供商和供应商，包括安全合作伙伴、云提供商和软件即服务（SaaS，Software-as-a-Service）应用程序。在安全事件发生期间，有适当级别的责任、背景和访问权限的人员能够做出响应和恢复动作。  

 **常见反模式：**
+  在应对安全事件时，没有维护一份包含关键人员联系信息、角色和职责的最新关键人员名单。
+  在应对事件和从事件中恢复时，假设每个人都了解人员、依赖项、基础设施和解决方案。  
+  没有代表关键基础设施或应用程序设计的文档或知识库。
+  没有为新员工制定适当的入职流程，无法有效参与安全事件响应，例如进行事件模拟。
+  没有制定当关键人员暂时无法到岗或者在安全事件中无法做出反应时，所需要的上报途径。

 **建立此最佳实践的好处：**这种实践减少了事件发生期间用于确定合适人员及其角色的分流和响应时间。通过维护一份关键人员及其角色的最新名单，极大限度地减少事件发生期间的时间浪费，这样您就能够让合适的人员进行分流并从事件中恢复过来。

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 **确定组织中的关键人员：**维护一份贵组织内需要参与事件的人员的联系名单。在发生组织变革、晋升和团队变动等人事变动时，应定期审查和更新这些信息。这对于事件经理、事件响应者和沟通负责人等关键角色尤其重要。  
+  **事件经理：**事件经理在事件响应期间拥有全面权力。
+  **事件响应者：**事件响应者负责调查和修复活动。这些人员可能因事件类型而异，但通常是负责受影响的应用程序的开发人员和运营团队。
+  **沟通负责人：**沟通负责人负责内外部沟通，特别是与公共机构、监管机构和客户的沟通。
+  **入职流程：**定期对新员工进行培训和入职，使他们具备必要的技能和知识，以便有效地为事件响应工作做出贡献。将模拟和动手练习作为入职流程的一部分，以协助他们做好准备。
+  **主题专家（SME）：**对于分布式自主团队，我们建议您为任务关键型工作负载确定一名 SME。主题专家有助于我们深入了解事件中涉及的关键工作负载的运行和数据分类。

 示例表格式：

```
  | Role | Name | Contact Information | Responsibilities |
1 | ——– | ——- | ——- | ——- |
2 | Incident Manager | Jane Doe| jane.doe@example.com | Overall authority during response |
3 | Incident Responder | John Smith | john.smith@example.com | Investigation and remediation |
4 | Communications Lead | Emily Johnson | emily.johnson@example.com | Internal and external communications |
5 | Communications Lead | Michael Brown | michael.brown@example.com | Insights on critical workloads |
```

 考虑使用 [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 功能，来捕获关键联系人、制定响应计划、自动执行随时待命方案并制定上报计划。通过随时待命方案自动安排和轮换所有员工，使工作负载的责任由其所有者分担。这促进了良好的实践，例如发布相关指标和日志，以及定义与工作负载相关的警报阈值。

 **确定外部合作伙伴：**企业运用独立软件供应商（ISV）、合作伙伴和分包商开发的工具，为客户构建差异化解决方案。让各方的这些关键人员参与进来，他们有助于应对事件并从事件中恢复。我们建议您注册相应级别的 支持，以便通过支持案例及时联系 AWS 主题专家。考虑与所有关键解决方案提供商就工作负载达成类似安排。有些安全事件要求上市企业向相关公共机构和监管机构通报事件及影响。请维护和更新相关部门和负责人的联系信息。

## 实施步骤
<a name="implementation-steps"></a>

1.  设置事件管理解决方案。

   1.  考虑在您的安全工具账户中部署 Incident Manager。

1.  在事件管理解决方案中定义联系人。

   1.  为每位联系人至少定义两种联系渠道（例如短信、电话或电子邮件），以便确保事件发生期间能够联系上。

1.  制定响应计划。

   1.  确定事件发生时应接洽的最合适的联系人。根据参与人员的角色，而不是单个联系人，制定上报计划。考虑纳入可能负责通知外部实体的联系人，即使他们没有直接参与解决事件也是如此。   

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [OPS02-BP03 确定对运营活动绩效负责的责任人](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_ops_model_def_activity_owners.html) 

 **相关文档：**
+  [AWS《Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)》 

 **相关示例：**
+  [AWS 客户行动手册框架](https://github.com/aws-samples/aws-customer-playbook-framework) 
+  [准备和响应 AWS 环境中的安全事件](https://youtu.be/8uiO0Z5meCs) 

 **相关工具：**
+  [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html) 

 **相关视频：**
+  [Amazon's approach to security during development](https:/www.youtube.com/watch?v=NeR7FhHqDGQ)