事故应急预案的重要组成部分

　　事实上，因为中型企业往往依靠少数的主要客户，拥有深思熟虑的事故应急预案对他们来讲，更加关键。Schmidt 说，“我看到很多不一致的信息被放出去传达给客户，他们可能会发现客户支持、售前销售工程师，或安全管理出现了问题；错误的信息被传达出去，而且是以不一致的方式传达出去的。”

　　除了消息发布是自上而下的，另一个问题在于IT自身的缺点：IT本能会立即修复安全漏洞。这样带来的问题是，修复后证据就被忽略，甚至删除掉了。

　　“那种快速应对、快速解决的心态几乎总是与法律法规相左。” Schmidt说，他曾亲眼看到后果：有次信息泄露被认为肯定是外来的黑客做的，然而调查后发现，有内部员工作为内应。当执法人员采取措施的时候，证据已经丢掉了。

　　“肯定会有这样一种情况，你想主动采取纪律性的行动或交出证据，但支持或证明你的案子的数据证据很可能已经被摧毁或污染掉了。”Schmidt说，最好的行动策略是有一个明确的“监管链”，如何反击黑客攻击，以及如何保持证据。

　　中型企业也应该事先知道，发生数据泄露后，他们在哪里可以得到帮助。中型的公共事业单位，交通运输、银行、医疗服务企事业单位，是美国政府的关键基础设施保护计划项目（Critical Infrastructure Protection Program）保护之内的行业。这些企业可以向国土安全部（DHS, Department of Homeland Security）或联邦保险( Federal Insurance)，或减灾管理局（FIMA，Mitigation Administration）寻求帮助。但这只是一个知道该打电话给谁的问题，Schmidt说。

　　“每个城市都有当地的减灾管理局（FIMA）和国土安全部( DHS)代表处，如果发生犯罪行为，还可以向当地的联邦调查局(FBI)分支机构求援，” Schmidt说。

　　联邦调查局(FBI)按其InfraGard计划，也开展当地的社交活动。InfraGard计划由地方，州和联邦执法机构赞助开展一些见面会、研讨会等活动。美国特勤局（U.S. Secret Service）的电子犯罪特遣队（Electronic Crimes Task Force）有地方眼线。大多数城市警署也有白领犯罪调查科，或计算机方向犯罪调查科。 CIO们应该认识并熟悉一些这样的人，Schmidt建议。

　　“不仅仅要知道事后该联系谁，而是要事发之前给他们打电话或跟他们见面，保持联系，” Schmidt说。