事故響應(yīng)

真正的事故一旦被確定和正確分類，IR團隊的工作就要從檢測階段轉(zhuǎn)移到響應(yīng)階段。制定響應(yīng)措施是為了阻止事故、削弱其影響以及為從事故中恢復(fù)提供信息。在事故響應(yīng)階段，IR團隊及其他部門采取的一系列行動措施必須迅速且同時執(zhí)行。一份有效的IRP會排列并記錄上述措施，以便在事故中臺邑及時參照。這些措施包括通知關(guān)鍵人員、任務(wù)安排以及事故的文檔記錄。

通知關(guān)鍵人員。一旦IR團隊確定事故發(fā)生，必須按合理的次序通知相應(yīng)人員。多數(shù)響應(yīng)部門，諸如消防隊或軍隊，都為緊急情況保留執(zhí)勤人員。執(zhí)勤名單是一種文檔記錄，它包含在事故發(fā)生時需要通知人員的聯(lián)系信息。

有兩種方法啟動執(zhí)勤名單：順序啟動和分級啟動。順序執(zhí)勤名單需要一個聯(lián)系人，以呼叫記錄上的每一個人員。分級執(zhí)勤名單需要第一個人呼叫記錄上的指定人員，再由他們依次呼叫其他的人員，等等。每一種方案都有其長處和短處，分級系統(tǒng)更迅速一些，因為同一時間能通知更多的人員，但由于消息在每人之間傳遞，可能會產(chǎn)生歪曲。而順序系統(tǒng)則更準(zhǔn)確一些，但由于只是一個人傳遞消息，所以會慢一些。

報警消息是對事故的描述，它含有足夠的信息以使每一個響應(yīng)人員了解需要執(zhí)行IRP的哪一部分，而不會對通知進程造成阻撓。需要知道的是，并非每個人都會在執(zhí)勤名單目錄上，這一點是很重要的——因為上面只記錄那些必須對具體的真正事故做出響應(yīng)的人員。如同IRP任何一部分一樣，執(zhí)勤名單必須得到周期性地維護、測試以及演練來保持其有效性。

在這個階段，執(zhí)勤名單外的其他關(guān)鍵人員，比如一般主管，也必須被告知事故的發(fā)生。這要在事故被確定之后，但又要在媒體或外界了解之前。此外，一些事故作為安全上的訓(xùn)練考慮，需要告知員工，而一些作為安全尺度考慮，則不需要。 另外，如果確定事故與內(nèi)部信息資源無關(guān)，或者說如果事故只是大規(guī)模攻擊的一 部分，則需要通知其他的機構(gòu)。例如，1999年末，Mafiaboy對多用途高可見度售貨網(wǎng)絡(luò)進行分布式拒絕服務(wù)攻擊時，許多遭受攻擊的目標(biāo)機構(gòu)紛紛向外界尋求幫助。在通常情況下，IR計劃者應(yīng)當(dāng)預(yù)先確定通知誰以及何時通知，還應(yīng)該提供對所需執(zhí)行的附加措施的指導(dǎo)。

事故的文檔記錄。一旦事故被確定且開始通知進程以后，團隊?wèi)?yīng)該開始記錄事故文檔。文檔記錄中應(yīng)包含當(dāng)事故發(fā)生時，由誰、怎樣、何時、何地、為什么以及怎樣采取每一個行動。這種文檔用來在事故之后作為對事故當(dāng)中所采取的措施是否合理和有效的探討研究。需要的話，它也可證實機構(gòu)已盡其所能防止事故擴散。在法律上，萬一事故對機構(gòu)內(nèi)外人員或使用目標(biāo)機構(gòu)系統(tǒng)的其他單位造成負面影響，應(yīng)有的注意( clue care)標(biāo)準(zhǔn)可以保護機構(gòu)。在以后的培訓(xùn)期間，事故文檔也可用來模擬IRP的未來形式。