DRIR での SOW および SIR ワークスペースからのインシデントの報告
影響度が大きく緊急度の高いインシデントが作成された場合、または既存のインシデントがインシデント管理またはセキュリティインシデントレスポンス ワークスペース (SIR ワークスペース) のサービスオペレーションワークスペース (SOW) で高優先度としてマークされている場合、そのインシデントは重大なインシデントとして分類されます。これらの重大なインシデントは、デジタルレジリエンスインシデントレポートアプリケーションに記録され、報告されます。
インシデントレポートワークフロー
次の例は、インシデント管理でインシデントをレポートするサンプルワークフローを示しています。- インシデントの検証:報告されたインシデントが ICT 関連の重大なインシデント、セキュリティ侵害、または運用上の支払いの問題のいずれであるかを判断します。重要なサービスが影響を受けているかどうかを評価します。
- インシデントの分類:影響を受ける重要なサービスの基準が満たされていない場合、インシデントは重大として分類されません。ネットワークおよび情報システムへの悪意のある不正アクセスの報告がある場合、そのインシデントは自動的に重大として分類されます。
- インシデントレコードの作成:インシデントレコードを作成します。[詳細] タブには、ケース番号、ソース、ステータス、サブタイプ、優先度、要求者、その他の関連する詳細などの情報が含まれています。[詳細] タブの [アクティビティ] パネルに記載されているケースに関連するアクションを確認します。
- 通知:DORA アナリストにメール通知を送信して、ケースの進捗状況の最新情報を通知します。
- 初期レポート:初期レポートのデータを自動的に収集します。インシデントが重大に分類されたら、24 時間以内に初期レポートを生成します。
- 応答のアクティブ化:インシデントの応答ステップをアクティブ化します。
- 中間レポート:インシデントが 3 日を超えてオープンになっている場合は、インシデントレポートを確認します。インシデントが重大に分類されてから 72 時間以内に生成される中間レポートのインシデントデータを更新します。
- 応答のレビュー:インシデントがまだオープンの場合は、応答手順を確認します。
- 最終レポート:インシデントがクローズされているかどうかを確認し、レコードのメモに追記します。インシデントが重大として分類されてから 1 か月後に生成される、改訂されたメモを使用して最終レポートを更新します。
インシデントレポートのタイムライン
インシデントを報告するために、次のタイムラインが考慮されます。
| レポートタイプ | タイムライン (インシデントが重大として分類された時点から) |
|---|---|
| 初期報告 | 24 時間 |
| 中間報告 | 72 時間 |
| 最終報告 | 1 か月 |
デジタルレジリエンスインシデントレポートでのケースの生成
例に示すように、インシデント管理アプリケーションのサービスオペレーションワークスペースでインシデントが重大としてマークされると、デジタルレジリエンスインシデントレポートでケースが生成されます。
SIR ワークスペースでは、影響度の高いインシデントを報告する場合と同様のワークフローが展開され、インシデントはデジタルレジリエンスインシデントレポートに記録されます。