De systemen die door het incident worden getroffen inperken om uitbreiding van de gevolgen te voorkomen.
Zo snel mogelijk na het incident bewijs verzamelen.
Escaleren zoals vereist, inclusief crisisbeheersingsactiviteiten en mogelijk activeren van bedrijfscontinuïteitsplannen.
Zorgen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor latere analyse.
Het bestaan van het informatiebeveiligingsincident of relevante details volgens het ‘need-to-know’-principe communiceren aan alle relevante interne en externe belanghebbenden.
Afstemmen met interne en externe partijen, zoals overheidsinstanties, belangengroepen, leveranciers en klanten, om de doeltreffendheid van de reactie te verbeteren en de gevolgen voor andere organisaties te helpen minimaliseren.
Het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt.
Indien vereist, forensische analyse van de informatiebeveiliging uitvoeren.
Postincidentanalyse uitvoeren om de onderliggende oorzaak te identificeren en zorgen dat deze wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures.
Kwetsbaarheden en zwakke punten in de informatiebeveiliging identificeren en beheren, inclusief beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen.
