事故響應

真正的事故一旦被確定和正確分類，IR團隊的工作就要從檢測階段轉移到響應階段。制定響應措施是為了阻止事故、削弱其影響以及為從事故中恢復提供信息。在事故響應階段，IR團隊及其他部門采取的一系列行動措施必須迅速且同時執行。一份有效的IRP會排列并記錄上述措施，以便在事故中臺邑及時參照。這些措施包括通知關鍵人員、任務安排以及事故的文檔記錄。

通知關鍵人員。一旦IR團隊確定事故發生，必須按合理的次序通知相應人員。多數響應部門，諸如消防隊或軍隊，都為緊急情況保留執勤人員。執勤名單是一種文檔記錄，它包含在事故發生時需要通知人員的聯系信息。

有兩種方法啟動執勤名單：順序啟動和分級啟動。順序執勤名單需要一個聯系人，以呼叫記錄上的每一個人員。分級執勤名單需要第一個人呼叫記錄上的指定人員，再由他們依次呼叫其他的人員，等等。每一種方案都有其長處和短處，分級系統更迅速一些，因為同一時間能通知更多的人員，但由于消息在每人之間傳遞，可能會產生歪曲。而順序系統則更準確一些，但由于只是一個人傳遞消息，所以會慢一些。

報警消息是對事故的描述，它含有足夠的信息以使每一個響應人員了解需要執行IRP的哪一部分，而不會對通知進程造成阻撓。需要知道的是，并非每個人都會在執勤名單目錄上，這一點是很重要的——因為上面只記錄那些必須對具體的真正事故做出響應的人員。如同IRP任何一部分一樣，執勤名單必須得到周期性地維護、測試以及演練來保持其有效性。

在這個階段，執勤名單外的其他關鍵人員，比如一般主管，也必須被告知事故的發生。這要在事故被確定之后，但又要在媒體或外界了解之前。此外，一些事故作為安全上的訓練考慮，需要告知員工，而一些作為安全尺度考慮，則不需要。 另外，如果確定事故與內部信息資源無關，或者說如果事故只是大規模攻擊的一 部分，則需要通知其他的機構。例如，1999年末，Mafiaboy對多用途高可見度售貨網絡進行分布式拒絕服務攻擊時，許多遭受攻擊的目標機構紛紛向外界尋求幫助。在通常情況下，IR計劃者應當預先確定通知誰以及何時通知，還應該提供對所需執行的附加措施的指導。

事故的文檔記錄。一旦事故被確定且開始通知進程以后，團隊應該開始記錄事故文檔。文檔記錄中應包含當事故發生時，由誰、怎樣、何時、何地、為什么以及怎樣采取每一個行動。這種文檔用來在事故之后作為對事故當中所采取的措施是否合理和有效的探討研究。需要的話，它也可證實機構已盡其所能防止事故擴散。在法律上，萬一事故對機構內外人員或使用目標機構系統的其他單位造成負面影響，應有的注意( clue care)標準可以保護機構。在以后的培訓期間，事故文檔也可用來模擬IRP的未來形式。