網絡安全事件響應小組 （CSIRT） 由處理事件響應的人員組成，可能包括內部和外部團隊，并且可能因事件的性質而異。

　　核心團隊通常是IT或網絡安全人員。擴展團隊可能包括其他能力，例如公關、人力資源和法律。

　　團隊不必全職致力于IR。擁有一個“虛擬”CSIRT，在需要時將其他日常工作的人聚集在一起，更具成本效益。

　　特設 CSIRT 團隊

　　如果要采用這種方法，至關重要的是對 CSIRT 至關重要的人員能夠在必要時將安全事件處置優先于日常工作。

　　結構和成員

　　團隊的位置將取決于組織的性質。可以選擇“中央”或“分布式”模式，取決于是否有可能或希望在多個關鍵位置擁有IR員工。許多組織將擁有一個中央 IR團隊（例如在總部/主要辦公室位置），并由其他位置的IT或IR員工提供分布式支持。

　　角色和職責

　　網絡安全事件響應小組 （CSIRT） 可能需要多個角色，以確保有效管理和協調事件。

　　屬于以下這些標題：

　　政府和執法部門

　　高級/行政管理

　　事件經理

　　技術負責人/恢復經理

　　危機管理、業務連續性、災難恢復

　　調查員和分析師、網絡安全專家

　　IT和基礎設施

　　其他部門，包括法律、公關、人力資源和客戶服務

　　事件期間所需的角色

　　下圖詳細說明了事件期間所需的核心角色。

　　有些人可能扮演多個角色，但如果要順利處理事件，則必須說明責任并在需要時可用。

　　列出了可選角色，引入外部團隊和其他業務管理功能。

　　中央協調

　　有一個協調的中心點是至關重要的。承擔此責任的人不必是網絡安全專家。他們的作用是確保管理、跟蹤和關聯所有行動和發現，并將事件傳達給所有利益相關者。

　　最好將事件響應的某些方面外包——從技術到公關和法律支持。但重要的是，內部人員可以監督、建議和做出影響業務的決策（根據專業供應商的建議）。

　　確保可用性

　　始終為“代表”提供服務——如果關鍵人物不在時，他們將提供掩護。

　　這適用于響應團隊和任何供應商的所有方面，如果他們只有一個可以執行某些任務的關鍵人員。

　　覆蓋時間和激增支持

　　需要事件響應覆蓋的時間將取決于業務性質和風險偏好。選擇需要平衡風險和預算，因為延長工作時間可能會產生大量相關成本。

　　在確定承保范圍時，應考慮以下因素：

　　將如何處理從當天開始而不能在一夜之間發生的事件？

　　是否可以在無法等到下一個工作日的工作時間之外檢測到事件？

　　需要什么保障？僅工作日、延長營業時間還是 7*24小時？

　　有什么風險？是否需要官方的隨叫隨到支持，或者這樣做的成本是否大于風險？

　　使用供應商是否合適？日日跟進類型的模型可能嗎？

　　兼職保險的實用性

　　如果僅在緊急事件期間提供擴展保險，則需要考慮實際情況。例如，如果租用了辦公樓，那么在發生事故時，該辦公樓是否可以 7*24全天候使用？

　　員工可能需要食物和住宿，以及產生人工成本。如果工作時間特別長，或者如果事件持續很長時間，可能還需要設計安排一種輪班工作模式。意味著可能需要不止一個內部人員能夠勝任每個關鍵角色協調響應。

　　供應商注意事項

　　應該審查所有供應商，以確定在事件發生期間可能需要誰的支持。

　　這可以是從基礎設施和云托管到外部公關公司的任何內容。與供應商合作，確保他們能夠在需要時提供支持。根據合同，即使是工作時間的支持也可能受到供應商的限制。

　　團隊技能和經驗

　　CSIRT所需的技能和經驗將根據的業務性質以及決定在內部構建多少IR能力而有所不同。但是，有些做法可以使任何組織受益。

　　保持安全意識

　　利用威脅源以及最新的網絡安全新聞和事件報告，可以提高一般安全意識和知識，還可以提醒當前對部門和組織的威脅。

　　確保執行團隊了解威脅及其在事件中可能扮演的角色。特別是，應該明確他們可能需要做出的關鍵決策，當然前提通常信息有限的。

　　鍛煉

　　找出差距并磨練反應的最佳方法之一是根據現實生活場景進行演練。外部專家推動這些演練有很大的好處，可以提供全新的視角并提供公正的建議，將有助于最大限度地從這些事件中獲益。

　　演練的范圍可以從深入的技術/戰術到戰略和管理級別的響應。非常值得在各個級別進行演練，以確保企業的各個方面都了解他們在發生事故時的角色和責任。

　　任何練習的關鍵，無論是內部運行還是由外部供應商運行，都需要記錄和分配經驗教訓，以推動整個組織的改進。

　　訓練

　　為關鍵員工提供特定培訓可以顯著提高組織對網絡事件的準備程度。該領域有專門的培訓課程，許多提供商將能夠根據組織業務需求提供定制的培訓和簡報會。

　　1基本的：對于目標不明確且大多數響應都是外包的組織 -  使用 網絡事件/意識簡報來加深理解

　　2改進：對于那些需要提高內部能力的人，可以考慮將一般 網絡調查 和/或事件管理培訓作為起點

　　3先進的：對于打算在內部構建完整 IR 功能的人員，可以學習一系列課程，包括取證和入侵分析（針對主機和網絡）以及惡意軟件分析。對技術恢復負責人或首席調查員的特定培訓將有助于培養發現和處理復雜、復雜事件的能力。

　　執行意識

　　在執行層面建立意識和經驗與在技術層面建立意識和經驗同樣重要，因為這些角色需要做出緊急的關鍵決策。

　　考慮誰將能夠承擔某些關鍵角色（例如響應期間的事件經理）以及誰將被要求做出關鍵決策也很重要。

　　確保在關鍵員工不在的情況下或在長時間的事件響應期間需要休息時任命代表也很重要。