# SEC10-BP02 制定事件管理計畫
<a name="sec_incident_response_develop_management_plans"></a>

為事件回應制定的第一份文件是事件回應計畫。事件回應計畫應是您事件回應計畫和策略的基礎。

 **建立此最佳實務的優勢：**開發全面且明確定義的事件回應程序，是成功且可擴展的事件回應計畫的關鍵。當安全事件發生時，明確的步驟和工作流程可協助您及時因應。您可能已具備現有的事件回應程序。無論您目前的狀態為何，都必須定期更新、重複執行和測試事件回應程序。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 事件管理計畫對於回應、減輕安全事件所造成潛在影響並從中復原而言至關重要。事件管理計畫是結構清晰的程序，可及時識別、修復和回應安全事件。

 雲端有許多在內部部署環境中所見的相同營運角色和需求。您在建立事件管理計畫時，必須將與業務成果及合規要求最相符的回應及復原策略納入考量。例如，若您在 AWS 中操作的工作負載符合美國的 FedRAMP，那麼請遵循《[NIST SP 800-61 電腦安全處理指南](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)》中的建議。同樣的，當您操作儲存個人身分識別資訊 (PII) 的工作負載時，請考慮如何保護和回應與資料落地和使用相關的問題。

 為 AWS 中的工作負載建置事件管理計畫時，請從 [AWS 共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)開始，以便建置事件回應的深度防禦方法。在此模型中，AWS 會管理雲端的安全，但維護雲端的安全是您的責任。此表示您保有控制權，並對您選擇實作的安全控制項負責。[AWS 安全事件回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)詳細說明在建置以雲端為中心的事件管理計畫時的重要概念和基礎指引。

 有效的事件管理計畫必須經過持續的反覆測試，以與您的雲端維運目標保持同步。在您建立和制定事件管理計畫時，請考慮使用以下詳述的實作計畫。

### 實作步驟
<a name="implementation-steps"></a>

1.  定義您組織內處理安全事件的角色和責任。這應涉及各部門的代表，包括：
   +  人力資源 (HR) 
   +  執行團隊 
   +  法務部門 
   +  應用程式擁有者和開發人員 (主題專家或 SME) 

1.  明確概述事件進行期間誰應負責、當責、受諮詢和被告知 (RACI)。建立 RACI 圖表以促進快速直接的溝通，並明確概述事件不同階段的領導。

1.  在事件期間讓應用程式擁有者和開發人員 (SME) 參與，因為他們可以提供有價值的資訊和內容，有助於衡量影響範圍。與這些 SME 建立關係，並在實際事件發生之前與他們演練事件回應情境。

1.  讓受信任的合作夥伴或外部專家參與調查或回應程序，因為他們可以提供額外的專業知識和觀點。

1.  讓您的事件管理計畫和角色符合任何管理組織的當地法規或合規要求。

1.  定期練習和測試您的事件回應計畫，並納入所有定義的角色和責任。這有助於簡化程序，並確認您對於安全事件能有協調且有效的回應。

1.  定期審查和更新角色、責任和 RACI 圖表，或隨著您的組織結構或需求進行變更。

 **了解 AWS 回應團隊和支援** 
+  **AWS 支援** 
  +  [支援](https://aws.amazon.com/premiumsupport/) 提供各種方案，可支援您運用各種工具與專業知識，協助您的 AWS 解決方案獲得成功並正常運作。如果您需要技術支援和更多資源以協助規劃、部署和最佳化 AWS 環境，您可以選取最符合您 AWS 使用案例的支援計畫。
  +  考慮以 AWS 管理主控台 中的[支援中心](https://console.aws.amazon.com/support) (需要登入) 作為中心聯絡窗口，以取得影響 AWS 資源的問題所需的支援。對 支援 的存取由 AWS Identity and Access Management 控制。如需有關取得 支援 功能存取權的詳細資訊，請參閱 [支援 入門](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html#accessing-support)。
+  **AWS 客戶事件回應團隊 (CIRT)** 
  +  AWS 客戶事件回應團隊 (CIRT) 是一個專門的全天候全球 AWS 團隊，在客戶端的有效安全事件期間為客戶提供支援 - [AWS 共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
  +  當 AWS CIRT 支援您時，他們會為 AWS 上的有效安全事件提供分類和復原方面的協助。他們可透過使用 AWS 服務日誌協助進行根本原因分析，並為您提供復原的建議。他們也可提供安全建議和最佳實務，以協助您避免事後發生安全事件。
  +  AWS 客戶可以透過 [支援 案例](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)洽詢 AWS CIRT。
+ [https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/)
  +  AWS 安全事件應變 在 re:Invent 2024 發布，是一項託管安全事件回應服務，結合了現代分類技術和人機迴圈。此服務會擷取所有 GuardDuty 調查結果，以及傳送至 AWS Security Hub CSPM 進行分類的任何第三方調查結果，僅在需要調查的調查結果時提醒客戶。此服務也提供入口網站，在客戶注意到安全事件時提交反應性案例，並從 AWS 的進階事件回應團隊取得支援。
+  **DDoS 回應支援** 
  +  AWS 提供 [AWS Shield](https://aws.amazon.com/shield/)，其中包含受管的分散式拒絕服務 (DDoS) 保護服務，可為執行於 AWS 的 Web 應用程式提供保護。Shield 提供一律開啟的偵測和自動內嵌緩解措施，可將應用程式停機時間和延遲降至最低，讓您無需聯絡 支援 即可享有 DDoS 保護。Shield 有兩個層級：AWS Shield Standard 和 AWS Shield Advanced。若要了解這兩個層級的差異，請參閱 [Shield 功能文件](https://aws.amazon.com/shield/features/)。
+  **AWS Managed Services (AMS)** 
  +  [AWS Managed Services (AMS)](https://aws.amazon.com/managed-services/) 可讓您持續管理 AWS 基礎設施，讓您專注在自己的應用程式上。透過實作維護基礎設施的最佳實務，AMS 有助於降低營運開銷和風險。AMS 可自動化常見的活動，例如，變更請求、監控、修補程式管理、安全性和備份服務，而且提供佈建、執行和支援基礎設施的完整生命週期服務。
  +  AMS 負責部署安全偵測控制套件，並提供全年無休的第一線提醒應變措施。提醒啟動時，AMS 會依照一組標準的自動化和手動程序手冊來驗證回應的一致性。這些程序手冊會在上線期間與 AMS 客戶共享，讓他們能夠透過 AMS 來制定和協調應變措施。

 **制定事件回應計畫** 

 事件回應計畫應是您事件回應計畫和策略的基礎。事件回應計畫應納入正式文件中。事件回應計畫通常包含下列章節：
+  **事件回應團隊概觀：**概述事件回應團隊的目標和職能。
+  **角色和責任：**列出事件回應利害關係人，並詳細說明他們在事件發生時的角色。
+  **通訊計畫：**詳細說明聯絡資訊，以及您在事件期間要如何進行通訊。
+  **備份通訊方式：**最佳實務是將頻外通訊作為事件通訊的備用方法。舉例來說，AWS Wickr 就是提供安全頻外通訊通道的應用程式。
+  **事件回應的階段和應採取的行動：**列舉事件回應的階段 (例如偵測、分析、消除、抑制及復原)，包括要在這些階段中採取的高階動作。
+  **事件嚴重性和優先順序定義：**詳細說明如何分類事件的嚴重性、如何排定事件的優先順序，以及嚴重性定義對於呈報程序有何影響。

 儘管不同規模和產業的公司都會有這些章節，但每個組織的事件回應計畫都是獨一無二的。您必須建立最適合貴組織的事件回應計畫。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [ SEC04 偵測](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 

 **相關文件：**
+  [AWS 安全事件回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 
+ [ NIST：電腦安全事件處理指南](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)