組織應(yīng)使用商定的信息安全事件和事故分類規(guī)范評估每個信息安全事態(tài)以確定該事態(tài)是否該歸于信息安全事件。事件的分類和優(yōu)先級可以幫助標(biāo)識事件的影響和范圍。當(dāng)組織中有信息安全響應(yīng)團隊(ISIPiT)時，評估和決策宜被轉(zhuǎn)發(fā)至該團隊確認(rèn)和再評估。應(yīng)詳細(xì)記錄評估和決策的結(jié)果，供日后參考和驗證。

所有信息安全事件應(yīng)按照既定規(guī)程應(yīng)急響應(yīng)預(yù)案件，通過任命的聯(lián)絡(luò)人、組織內(nèi)相關(guān)人員和外部團體對信息安全事件予以響應(yīng)。

組織應(yīng)該安排專職人員統(tǒng)計監(jiān)測信息安全事件的類型、數(shù)量和造成的損失。應(yīng)使用分析和解決信息安全事件中得到的經(jīng)驗來減少未來相似事件帶來的影響。

對于可以作為電子證據(jù)的信息，組織應(yīng)定義和使用可以標(biāo)識、收集、獲取和保存該信息的規(guī)程。通常的，電子證據(jù)手機規(guī)程應(yīng)根據(jù)不同介質(zhì)、設(shè)備及其狀態(tài)如開機或關(guān)機提供鑒定、收集、采集和保存證據(jù)的過程。如果可以，應(yīng)尋找執(zhí)法機關(guān)人員和具有電子證據(jù)取證工具的資格認(rèn)證或其他相關(guān)手段，以加強保存證據(jù)的價值。證據(jù)可以超越組織或管轄區(qū)域的邊界。在這樣的情況下，應(yīng)確保組織有資格去收集要求的信息作證據(jù)。還應(yīng)考慮不同國家地區(qū)對于取證的要求，以使證據(jù)跨越相關(guān)管轄區(qū)域被允許進入的機會最大化。