2.1 事件响应流程的创建

有许多行业标准、建议和最佳实践可以帮助你创建自己的事件响应。可以将那些内容作为参考,以确保涵盖了与你的业务类型相关的所有阶段。本书参考的是计算机安全事件响应(Computer Security Incident Response,CSIR),见NIST的出版物800-61R2[1]。无论选择哪一个作为参考,都要确保使其适应你自己的业务需求。在安全领域,大多数时候“一刀切”的概念并不适用,我们的目的总是利用众所周知的标准和最佳实践并将其应用到自己的环境中。保持灵活性以适应业务需求非常重要,这样才能在操作时提供更好的体验。