での SOW および SIR ワークスペース からのインシデントのレポート DRIR
影響度が高く緊急度の高いインシデントが作成された場合、または既存のインシデントがインシデント管理またはセキュリティインシデントレスポンス ワークスペース (SIR ワークスペース) のサービスオペレーションワークスペース (SOW) で高優先度としてマークされた場合、そのインシデントは重大なインシデントとして分類されます。これらの重大なインシデントは、 デジタルレジリエンスインシデントレポート アプリケーションでログに記録され、レポートされます。
インシデントレポートワークフロー
次の例は、 インシデント管理 でインシデントを報告するためのワークフローの例を示しています。- インシデントの検証:報告されたインシデントが重大な ICT 関連のインシデントであるか、セキュリティ侵害であるか、運用上の支払いの問題であるかを判断します。重要なサービスが影響を受けているかどうかを評価します。
- インシデント分類:影響を受ける重要サービスの基準が満たされていない場合、インシデントは重大として分類されません。ネットワークおよび情報システムに対する悪意のある不正アクセスの報告がある場合、インシデントは自動的に重大として分類されます。
- インシデントレコードの作成:インシデントレコードを作成します。[ 詳細 ] タブには、ケース番号、ソース、ステータス、サブタイプ、優先度、要求者、その他の関連する詳細などの情報が含まれています。[詳細] タブの [アクティビティ] パネルに文書化されている、ケースに関連するアクションをレビューします。
- 通知: DORA アナリストにメール通知を送信して、ケースの進捗状況を更新します。
- 初期レポート:初期レポートデータを自動的に収集します。インシデントが重大として分類されてから 24 時間以内に最初のレポートを生成します。
- 応答のアクティブ化:インシデントの応答ステップをアクティブ化します。
- 中間レポート:インシデントが 3 日以上オープンになっている場合は、インシデントレポートを確認します。インシデントが重大として分類されてから 72 時間以内に生成される中間レポートで、インシデントデータを更新します。
- 応答レビュー:インシデントがまだオープンの場合は、応答手順をレビューします。
- 最終レポート:インシデントがクローズされたかどうかを確認し、レコード内のメモを拡張します。インシデントが重大として分類されてから 1 か月後に生成された修正メモで最終レポートを更新します。
インシデント報告のタイムライン
インシデントを報告する際には、次のタイムラインが考慮されます。
| レポートタイプ | タイムライン (インシデントが重大に分類された時点から) |
|---|---|
| 初期報告 | 24 Hours (24 時間) |
| 中間報告 | 72 時間 |
| 最終報告 | 1 か月 |
でのケース生成 デジタルレジリエンスインシデントレポート
例に示すように、インシデント管理 アプリケーションのサービスオペレーションワークスペースでインシデントが重大としてマークされると、デジタルレジリエンスインシデントレポートでケースが生成されます。
SIR ワークスペース は、影響度の高いインシデントを報告するための同様のワークフローを展開し、デジタルレジリエンスインシデントレポートログに記録されます。