信息安全事件管理，包含监控、分析及反应，这些多样化科技的结合对企业也产生新的挑战，即是没有一个方式可以标准化、去重复化及关连这些存在于不同科技之事件。
　　
　　此外，对于管理人员而言，通常管理防毒系统为一组人员，管理IPS为一组人员，而管理防火墙也许又为另一组。导致对于整体信息安全之管理产生“一人一把号，各吹各的调”的窘境，对于实时信息安全事件之关连分析也产生极大困难，由于要将上下游事件串起，于信息安全事件后之调查时间会格外地冗长。
　　
　　有鉴于此，企业为了达到安全水平，需要建设一个集中式资源，以跨越及整合这些不同层面之信息安全产品及管理资源，达到监控、分析及快速响应，因此企业IT组织会建设信息安全监控中心(SOC,SecurityOperationsCenter)。以下将针对建设SOC应该考虑哪些层面、进行哪些准备及如何于人员、流程及技术上达到平衡进行说明。
　　
　　为了SOC而SOC
　　
　　企业为什么要建设SOC？为了符合政府或企业法规要求，很多企业为了建设而建设，当然政府或企业法规遵循也是企业目标之一，但一个成功的规划团队，必须针对不断变动的企业目标定义出建设SOC目标。
　　
　　关于SOC之任务，因应即将上路之个资法，SOC重要任务又多了一项，能提供相关之证据举证，SOC对于历史事件处理及保存，也扮演很重要的角色。而SOC另一个重要任务是实时对于信息安全事件管理，包含侦测、通报、处理及回报，而所应用的任务范围，根据不同企业商业需求来定义其维运架构，进而决定所需收容及管理之信息设备，即技术方法，可达到的任务及应用实务。
　　
　　以”侦测内部员工之滥用行为”而言，根据统计调查，数据泄漏及信息安全危害所带来的影响，绝大部分来自于内部员工之滥用，由于内部员工了解企业信息环境，管理员甚至了解相关信息安全保护措施手法及范围，因此有心的恶意员工很容易规避信息安全规范。对于内部员工滥用行为之侦测，绝对是因应个资法第一着眼重点，对此SOC的侦测及处理重点如下：
　　
　　－应用系统上尝试多次登入但失败之行为
　　
　　－防火墙上侦测来自固定来源IP对于不同目标IP之存取但被拒绝之行为
　　
　　－尝试对外异常联机，包含FTP、SSH、RemoteDesktop等
　　
　　－尝试更改防火墙、服务器或其它重要信息安全设备之重要设定
　　
　　－非上班时间或异常时间之管理员账号登入
　　
　　－非申请之使用管理员账号登入
　　
　　孙子兵法：完善的程序及演练
　　
　　SOC程序与流程在人员与技术中间扮演缓冲角色，通常一个菜鸟信息安全分析师不知如何上手，而SOC具备一个好的程序及流程，信息安全分析师即可先照本宣科，进而慢慢上手。而且通常SOC系统技术在企业特别需求及要求上，有时很难从技术层面完成，程序及流程即可填补不足之处，以人工方式根据程序及流程指引来达成企业特别需求。
　　
　　通常维运一个SOC需要非常多程序及流程，而CMMI(Capability Maturity Model Integration)可以提供企业一个架构来进行维护及加强，对大部分组织而言，CMMILevel3应该是一个基本目标。
　　
　　一旦程序与流程建立后，经常需要异动及更新，建议可以使用wiki文件系统来进行文件管理，且wiki可透过web接口提供使用者对文件内容实时动态修改或更新。也建议于SOC维运人员的监控屏幕上，设计两个画面，一个为信息安全监控所需画面，一个为程序及流程参考或搜寻画面。
　　
　　SOC之流程，通常会将其分成下列四个主要象限，分别进行流程定义：
　　
　　1.商业流程：定义所有能有效维运SOC的管理及行政程序。
　　
　　2.技术流程：维护所有信息系统相关管理及设定。
　　
　　3.维运流程：记录每天维运相关机制，如轮值班表、交班程序等。