孙子兵法：完善的程序及演练

　　SOC 程序与流程在人员与技术中间扮演缓冲角色，通常一个菜鸟信息安全分析师不知如何上手，而SOC具备一个好的程序及流程，信息安全分析师即可先照本宣科，进而慢慢上手。而且通常SOC系统技术在企业特别需求及要求上，有时很难从技术层面完成，程序及流程即可填补不足之处，以人工方式根据程序及流程指引来达成企业特别需求。

　　通常维运一个SOC需要非常多程序及流程，而CMMI(Capability Maturity Model Integration) 可以提供企业一个架构来进行维护及加强，对大部分组织而言，CMMI Level 3 应该是一个基本目标。

　　一旦程序与流程建立后，经常需要异动及更新，建议可以使用wiki文件系统来进行文件管理，且wiki可透过web接口提供使用者对文件内容实时动态修改或更新。也建议于SOC维运人员的监控屏幕上，设计两个画面，一个为信息安全监控所需画面，一个为程序及流程参考或搜寻画面。

　　SOC之流程，通常会将其分成下列四个主要象限，分别进行流程定义：

　　1.商业流程：定义所有能有效维运SOC的管理及行政程序。

　　2.技术流程：维护所有信息系统相关管理及设定。

　　3.维运流程：记录每天维运相关机制，如轮值班表、交班程序等。

　　4.分析流程：包含所有对信息安全事件的事中侦测及事后分析之相关流程定义。

　　当所有范围流程定义完成后，一个成熟的SOC必须经常进行模拟演练，模拟演练范围必须包含所有流程及程序，及相关定义的内外部组织。于模拟演练过程中，为了测试 SOC 于各种状况之反应，会放入很多模拟情境，并且于每次模拟演练结束后，所有相关之参与人员必须召开一个 “lessons and learned” 会议来检视所有短缺之处，如何于教育训练或者流程及技术方面进行加强。