本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立從事件中學習的架構
實作經驗教訓的架構和方法不僅有助於改善事件回應功能,也有助於防止事件重複發生。透過從每個事件中學習,您可以協助避免重複相同的錯誤、暴露或錯誤設定,不僅可以改善您的安全狀態,還可以將因可預防的情況而損失的時間降至最低。
實作經驗教訓是非常重要的,其可在高層級實現以下幾點:
-
什麼時候開設經驗教訓課程?
-
經驗教訓課程中包含哪些內容?
-
經驗教訓課程的進行方式?
-
這個課程的參與者以及參與方式?
-
如何識別待改善之處?
-
如何確保有效追蹤和實作改善項目?
除了列出的這些高階成果之外,請務必提出正確的問題,以從程序中衍生出最高價值 (導致可行改善的資訊)。考慮這些問題,有助您發起經驗教訓的討論:
-
事件是什麼?
-
第一次識別事件的時間?
-
事件的識別方式?
-
哪些系統對活動發出提醒?
-
涉及哪些系統、服務和資料?
-
具體發生的事件?
-
哪些方面做得很好?
-
哪些方面做得不好?
-
哪個流程或程序失敗或未能擴展以回應事件?
-
在以下幾個領域有哪些可以改善之處:
-
人物
-
需要聯絡的對象實際上是否有空,並且聯絡人清單是最新的嗎?
-
人們是否缺少有效回應和調查事件所需的培訓或能力?
-
適當的資源是否已準備就緒且可供使用?
-
-
流程
-
是否遵循流程和程序?
-
是否已記錄並提供這類事件的流程和程序?
-
是否缺少必要的流程和程序?
-
回應人員是否能夠即時存取所需的資訊以回應問題?
-
-
技術
-
現有的提醒系統是否能有效地識別活動,並據以發出提醒?
-
是否需要改善現有提醒,或是需要針對此類事件建立新的提醒?
-
現有的工具是否允許對事件進行有效的調查 (搜尋/分析)?
-
-
-
可以做什麼來協助加快這類事件的識別速度?
-
可以做什麼來協助避免這類事件再次發生?
-
負責改善計畫的人是誰,您將如何測試是否已實作此計畫?
-
要實作和測試之額外監控/預防性控制/程序的時間表為何?
此清單並非全包式,旨在作為識別組織和業務需求的起點,以及如何分析這些需求,以最有效地從事件中學習並持續改善您的安全狀態。最重要的是透過將經驗教訓納入事件回應流程,文件和利害關係人期望的標準部分。