信息安全服务台看起来是什么样子？

Question

ISO 27001 A.16正在讨论如何处理信息安全事件和事件，以及报告此类事件的接触点。

我想知道在现实生活和真实的公司中，这是如何实现的。

我知道IT事故的处理方式--通常有IT ServiceDesk报告IT事故。

但是当它是关于信息安全的时候会是什么样子呢？

是否存在仅与信息安全相关的并行ServiceDesk/HelpDesk，或者IT ServiceDesk是否也获取与信息安全相关的事件(因为信息安全不仅与IT相关)？

一些来自现实世界的例子可以帮助我了解这幅画。

Answer 1

您询问的内容通常称为安全操作中心(SOC发音为"sock")。在这里，第1层安全分析人员在进入时会检查安全事件，以确定它们是假阳性还是应该升级为二级分析师/工程师。如果不是假阳性，他们通常会写一份事件摘要，并升级到第2级。第2级将调查并确定事件是否为假阳性，或是否需要升级为事件反应(见下文)或第3级以进行进一步分析。不同层次之间工作的具体分类因组织不同而不同，但通常有3层。其中一些可以在prem上提供，而有些则提供给托管安全服务提供者(MSSP)。

组织的规模和他们的安全团队的成熟程度决定了SOC的外观(如果他们有SOC的话)。在一些较小/较不成熟的组织中，安全任务由IT帮助/服务台处理。SOC是首选模型，应该与网络和IT/管理团队有大量的重叠，因为这些团队的适当配置是安全的骨干。

此外，在成熟的组织中，应该有一个单独的事件响应(IR)团队，它具有业务背景和管理洞察力/访问权限，以查找和补救SOC升级的任何问题。

此外，或者作为IR的一部分，小组应该有一个数字取证小组，以加强似乎具有严肃性质的调查。

最后，网络上有大量关于这个话题的信息，所以四处看看，做大量的阅读。你只有一次机会去建立一个SOC所以把它建好。