4.5　组建网络安全事件响应组织

网络安全事件的处置需要CSO在组织层面建立一个统一的安全事件处理组织，这个组织需要能够在重大网络安全事件发生时，起到快速领导和协调事件处置所需资源的作用，因此，这个组织必须包括以下几方面的人员：

• 与业务流程负责人进行沟通的协调人员
• 对事件响应能力进行监管的主管
• 管理单个事件的经理
• 负责检测调查签字和恢复安全事件的专家
• 协调进行安全事件调查的业务专家
• 出面协调与联络的业务单位负责人

除此之外，组织还需要考虑到外部的第三方专业供应商，以及企业部门在网络安全事件处置中提供的后勤保障职能。图4-1所示是一个典型的网络安全事件响应组织的架构。

图4-1　典型的网络安全事件响应组织的架构

在该架构中，网络安全事件响应领导小组由公司董事会、高管、行业监管机构等组成，负责公司资源的统一协调及安全事件处置过程中的统一指挥。

在网络安全事件响应领导小组之下，要设置事件抢险小组与事件支援小组，事件抢险小组负责具体网络和信息系统事件的处置和恢复。参与具体处置的人员应当包括公司内部的IT部门开发及运维团队人员，专业的第三方安全响应服务提供商，相关网络、IT设备及系统的供应商，外部安全专家等，根据事件的实际影响和等级，逐步让相关团队及人员进场参与事件的处置。

事件支援小组负责事件处理过程中的后勤保障及公司对外事件的应对。随着互联网的发展，事件支援小组的作用越来越重要，这是需要CSO重点认识到的。事件支援小组要支援抢险小组对事件的处置，因此其成员要包括业务部门人员，业务部门人员在事件处置过程中要做好与用户或客户沟通的工作，以降低用户或客户的负面情绪。另外，考虑到抢险过程可能会持续相当长一段时间，人力资源部门及行政、财务部门应参与到后勤保障单位中，以组织和协调志愿者招募、人员值班安排、伙食餐饮、休息住宿等具体的保障工作。由于现在互联网社交媒体的高度发达，导致很多公司的内部网络安全事件会在社交媒体发酵，形成企业的媒体危机事件，在这种情况下，公司的媒体公关部门也应参与到网络安全事件的响应支援小组中来，以负责监控互联网社交媒体对公司安全事件的报道，及时发布官方的信息，以及开展媒体公关工作，控制网络安全事件对公司品牌、名誉、股价等的影响。最后，支援小组中还要包括法律服务部门，以便及时调查和对事件的内外部责任人进行追责。

事件的响应组织可以与应急小组融合组建，作为网络安全事件和网络安全灾难处置的统一组织，这样有助于组织人员一脉相承地对公司网络安全事件持续关注。