PCI DSS 之 Incident Response Plan

PCI DSS 的 IRP 與其他資訊安全管理系統 (如 ISO 27001) 的事件事故管理，其最大的差異首先是 12.10.3 要求，必須指定專責人員，對於 24/7 的告警能有適時的回應或處理；再者是 12.10.5 要求，必須有且不僅於intrusion-detection(IDS), intrusion-prevention(IPS), firewalls, and file-integrity monitoring(FIM) 等系統告警機制，也就是說 PCI DSS 的 IRP 其對於執行面的要求強度遠高於資訊安全管理系統。

此外 12.10.1 要求，對於 IRP 的實施，要有人員的角色、職掌及系統遭入侵時的聯繫與溝通策略，也包含對於卡組織的通報機制及依各卡別公司 (如 VISA、MASTER) 所要求的回應報告。其他的要求對於資料備份、業務復原、營運持續等文件化要求與資訊安全管理制度差異不大。
至於 12.10 的其他要求為，關於安全漏洞的回應責任、提供員工適當的訓練、每年至少檢視及演練 (或測試) 一次 IRP ，以期能於公司過往的經驗及事故後的學習，發展及修訂更完善的事故應變計畫 (IRP)。

安律資深顧問林宜鴻表示，在我們輔導的諸多客戶中，大部分的公司總認為 IRP 演練只要資訊部門同仁 (系統管理者、網路管理者、資料庫管理者) 參加即可，頂多再補上開發人員與客服窗口，因為程序文件通常只是大框架的說明人員角色、職掌，以及簡要的提到該做哪些事。然而當資深顧問在設計一個持卡人資料外洩的模擬情境發佈後，客服往往會發現，要不要往上回報的基準在程序文件內並沒說明、回報給誰也沒釐清、能不能立刻請資訊部門調查，還是不論如何乾脆直接回報給總經理，都是演練過程中的挑戰。

因此每當安律顧問引導客戶進行 IRP 演練時，總需耗費心力規劃一個貼切於客戶業務的可能事故情境，並帶領客戶進行符合 PDI DSS 要求的通報及處理。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

如欲知詳情請前往以下官網
https://www.securevectors.com/zh-hant/pci-dss/

#PCIDSS #PCISSC #QSA (Qualified Security Assessors) #VISA#Master #SAQ(Self-Assessment Questionnaire) #AOC (Attestation of Compliance)#ASV (Approved Scanning Vendors) #卡組織 #IDS #IPS#IRP #FIM