在现代虚拟世界中，造成信息安全事件的来源为病毒、蠕虫或木马，不变的安全事件来源就是“人”。为因应各式各样攻击手法、符合政府或企业法规要求，企业采取各种信息安全科技，包含防毒、防火墙、主机型/网络型入侵防御系统、身分认证与存取权限管理系统及身分安全、VPN甚至网络存取控制等，各种技术提供现代化信息安全防护很好的解决方案，不依赖单一厂商或产品。

　　信息安全事件管理，包含监控、分析及反应，这些多样化科技的结合对企业也产生新的挑战，即是没有一个方式可以标准化、去重复化及关连这些存在于不同科技之事件。

　　此外，对于管理人员而言，通常管理防毒系统为一组人员，管理IPS为一组人员，而管理防火墙也许又为另一组。导致对于整体信息安全之管理产生“一人一把号，各吹各的调”的窘境，对于实时信息安全事件之关连分析也产生极大困难，由于要将上下游事件串起，于信息安全事件后之调查时间会格外地冗长。

　　有鉴于此，企业为了达到安全水平，需要建设一个集中式资源，以跨越及整合这些不同层面之信息安全产品及管理资源，达到监控、分析及快速响应，因此企业IT组织会建设信息安全监控中心(SOC, Security Operations Center)。以下将针对建设SOC应该考虑哪些层面、进行哪些准备及如何于人员、流程及技术上达到平衡进行说明。

　　为了SOC而SOC

　　企业为什么要建设SOC?为了符合政府或企业法规要求，很多企业为了建设而建设，当然政府或企业法规遵循也是企业目标之一，但一个成功的规划团队，必须针对不断变动的企业目标定义出建设SOC目标。

　　关于SOC 之任务，因应即将上路之个资法，SOC 重要任务又多了一项，能提供相关之证据举证，SOC 对于历史事件处理及保存，也扮演很重要的角色。而SOC另一个重要任务是实时对于信息安全事件管理，包含侦测、通报、处理及回报，而所应用的任务范围，根据不同企业商业需求来定义其维运架构，进而决定所需收容及管理之信息设备，即技术方法，可达到的任务及应用实务。

　　以”侦测内部员工之滥用行为”而言，根据统计调查，数据泄漏及信息安全危害所带来的影响，绝大部分来自于内部员工之滥用，由于内部员工了解企业信息环境，管理员甚至了解相关信息安全保护措施手法及范围，因此有心的恶意员工很容易规避信息安全规范。对于内部员工滥用行为之侦测，绝对是因应个资法第一着眼重点，对此SOC的侦测及处理重点如下：

　　-应用系统上尝试多次登入但失败之行为

　　-防火墙上侦测来自固定来源 IP 对于不同目标 IP 之存取但被拒绝之行为

　　-尝试对外异常联机，包含FTP、SSH、Remote Desktop等

　　-尝试更改防火墙、服务器或其它重要信息安全设备之重要设定

　　-非上班时间或异常时间之管理员账号登入

　　-非申请之使用管理员账号登入