響應計劃的目的
數據洩露響應計劃提供了發現違規時的路線圖。
這是一個節省時間和減輕壓力的工具。 一旦你的計劃到位,你就不必浪費時間和精力去決定每次發生違規行為時要做什麼。 您只需按照您事先建立的步驟操作即可。 經過深思熟慮的應對計劃可以幫助您避免在危機模式下行事時可能出現的失誤。
響應計劃的要素
為了有效,數據洩露響應計劃應包括以下內容:
- 違約的定義
- 響應小組成員名單
- 處理違規行為的步驟
- 後續程序
定義違規
制定應對計劃的一個重要步驟是確定什麼構成違約 。 也就是說,什麼類型的事件會激活你的計劃? 某些事件(例如網絡釣魚電子郵件)可能對貴公司的業務幾乎沒有影響。 其他人,如勒索軟件感染或拒絕服務攻擊,可能會導致嚴重的中斷。
雖然違規的定義可能因計劃而異,但通常包括盜竊或入侵包含有關客戶,病人,客戶或僱員的敏感信息的電子數據文件。 它還應該包括對專利,商業秘密和其他知識產權等敏感公司信息的盜竊(或企圖盜竊)。
你的回應團隊
你的回應計劃應該確定你的回應團隊的成員。 這些是在發生違規時執行您的應對計劃的個人。 他們應該是熟悉您業務的值得信賴的員工 。 他們必須認真對待團隊成員的責任。
團隊的規模和組成取決於幾個因素。 這些包括貴公司的規模,您經營的行業以及您業務的複雜程度。 在許多公司中,響應團隊至少包括來自以下各個領域的代表:
- 人力資源
- 信息技術或數據安全
- 通訊
- 風險管理
- 法律
- 高級管理人員
一些數據洩露可能太大或太複雜,您的員工無法單獨處理。 要處理這些事件,您的團隊需要外部專家的幫助。 這些外部顧問應在您的應對計劃中加以識別。 他們可能包括律師,執法人員,數據安全或恢復專家。
您的計劃的行動步驟
您的響應計劃應該為您的響應團隊成員提供分步說明,指出發生數據洩露時應採取的措施。 應為每個成員分配一個反映他或她的專業知識的角色。
例如,確定發生違規事件的責任應分配給數據安全員工。 同樣,通知保險公司發布您的網絡責任政策的任務應分配給風險管理員工。 該計劃應使您的團隊能夠分析違規情況,確定發生了什麼問題,限制損害情況,並做出任何需要改進的地方,以防止將來發生類似事件。
您的回應團隊成員應仔細記錄在發生違規事件後所採取的所有行動。 這有幾個重要的原因。 首先,這些記錄將驗證團隊成員是否遵循了您計劃中列出的指示。 其次,文檔將在您進行違約後評估時提供有價值的信息。
第三,如果違規涉及受法律保護的數據,州或聯邦當局可能會要求記錄。 某些類型的個人身份信息(如信用卡號碼或健康信息)受州或聯邦隱私法規的約束。 如果您存儲有關您的計算機系統上的客戶,患者或員工的敏感數據,並且信息受到損害,法律可能會要求您通知其數據已被違反的個人。 您可能還需要向州或聯邦機構舉報違規行為。 許多法律規定了通知的時限。 通知要求,包括必須通知的人員和授權的時間段,應在您的響應計劃中說明。
跟進
一旦您的計劃得到充分執行並且已經包含違規行為,您應該與您的應對團隊進行一次情況匯報會議。 要求所有成員完成他們所採取的步驟以及他們從流程中學到的經驗教訓。 成員應該描述他們在這個過程中遇到的任何問題,這樣可以根據需要調整計劃。