事故遏制策略。IR最關鍵的部分之一是阻止事故或者限制其范圍與影響。 事故遏制策略根據事故及其造成的損失而不同。但在事故被阻止或遏制住之前， 必須識別出受影響部分。現在還不適宜對受影響部分進行詳細分析；那些任務需在事故之后，在討論過程中執行。取而代之的是，對信息和系統做出一個的簡單的識別可以決定要采取哪些遏制措施。事故遏制策略強調兩個任務：阻止事故和恢復對受影響系統的控制。

IR團隊能夠通過幾項策略來阻止事故并恢復控制。如果事故產生于機構外部，最簡單和直接的辦法是中斷受影響的通信線路。當然，如果機構的一切業務都依賴于該線路，這樣做勢必過于極端；如果事故并不影響關鍵的功能部分，也許對其進行監控和另行限制會更可行。一些機構使用的方案是動態的使用過濾規則對某些類型的網絡訪問進行限制。例如，如果一個威脅代理正利用簡單網絡控制協議( SNMP)的漏洞攻擊網絡，那么在一般IP端口使用數據塊過濾器填補漏洞，就能在不危及網絡中其他服務安全的情況下阻止攻擊。根據攻擊的性質以及機構的技術能力，有時特殊控制可以為制定更為持久的控制策略贏得寶貴的時間。其他的遏制策略列舉如下：

*中止受威脅的用戶賬號

*重新配置防火墻以阻斷有問題的數據流量

*暫時中止受威脅的進程和服務

*關閉應用程序或服務器，例如電子郵件服務器

*關閉所有計算機和網絡設備

顯而易見，只有當失去全部系統控制時，才會使用最后這個策略，此時睢一的希望是將數據保存在計算機內以便事故解決后能夠恢復操作。IR團隊采用IRP 里描述的程序來確定關閉時間的長度。

再次考慮本章開始時的情景，如果發生的不是火災，而是一次病毒攻擊事故， 那該怎么辦？如果關鍵事故響應人員患病在家、去度假或因為其他原因不在，那又該如何？想一想在你的班上或辦公室里有多少人常常都不在，很多業務都涉及到出差，員工需要外出參加會議，研討會，培訓，度假或其他多種要求。考慮到這些可能性，那么準備的重要性就變得清楚了，每個人都應該知道怎樣處理一個事故，而并不是只有CISO和系統管理員才應該知道這些。

事故升級。一個事故可能在涉及范圍或者嚴重程度上加劇到IRP不能夠充分處理的程度。與知道如何處理一個事故同樣重要的是，要知道到哪種程度應該按下應急按鈕并把事故升級為災難，或者是把事故轉交給外部機構，例如執法機構或其他公共事務響應單位。在業務影響分析中，每個機構必須確定出臨界點， 以識別一個事故何時被認為是災難。這些標準必須包含在事故響應計劃當中。 正如其他部分討論到的，機構也必須記錄什么時候可以包含外部響應者。事故升級是一種一旦發生就不能取消的事情，因此在什么時候和什么地方應該使用它是非常重要的。