當(dāng)?shù)?章中確定的威脅中的某一個(gè)變成真實(shí)的攻擊時(shí)，只要它具有以下所有的特征，它便被分類(lèi)為信息安全事故：

*它直接針對(duì)信息資產(chǎn)

*它有實(shí)際的成功機(jī)會(huì)

*它威脅到信息資源和資產(chǎn)的機(jī)密性、完整性和可用性

對(duì)威脅和攻擊的預(yù)防已經(jīng)被有意地從這些討論中省略了，因?yàn)獒槍?duì)這類(lèi)可能性的防護(hù)完全是信息安全部門(mén)的職責(zé)。IR是一個(gè)響應(yīng)方法，而不是預(yù)防方法，理解這一點(diǎn)是很重要的。

創(chuàng)建一個(gè)機(jī)構(gòu)IRP的責(zé)任通常會(huì)落到CISO肩上，在CP團(tuán)隊(duì)中的其他主管和系統(tǒng)管理員的協(xié)助下，CISO應(yīng)該從利益團(tuán)體中選擇成員來(lái)組成一個(gè)獨(dú)立的IR團(tuán)隊(duì)以執(zhí)行IRP。IR團(tuán)隊(duì)成員的角色和責(zé)任應(yīng)該清晰地以文檔記錄下來(lái)并在機(jī)構(gòu)中進(jìn)行傳達(dá)。IRP也包括一個(gè)執(zhí)勤名單，它列出了在事故發(fā)生期間應(yīng)該聯(lián)系的特定關(guān)鍵機(jī)構(gòu)。

使用前面討論過(guò)的6步CP過(guò)程，CP團(tuán)隊(duì)創(chuàng)建了IRP，IR程序也已經(jīng)成型了。 對(duì)于每一個(gè)事故，CP團(tuán)隊(duì)都創(chuàng)建3套事故處理程序：

①事故中：計(jì)劃者制定并用文件的形式規(guī)定在事故發(fā)生期間必須執(zhí)行的程序。這些程序都被分類(lèi)并分配給個(gè)人。系統(tǒng)管理員的任務(wù)不同于主管的任務(wù)，所以計(jì)劃委員會(huì)的成員們必須擬定一組功能各有側(cè)重的程序。

②事故后：一旦起草完處理事故的程序，計(jì)劃者就會(huì)制定并成文，規(guī)定在事故平息之后必須馬上執(zhí)行的程序。再者，可以為單獨(dú)的功能區(qū)域制定不同的程序。

③事件前：計(jì)劃者起草第3套程序，必須執(zhí)行這些程序以對(duì)事故做出準(zhǔn)備。這些程序包括詳細(xì)的數(shù)據(jù)備份計(jì)劃表、災(zāi)難恢復(fù)準(zhǔn)備、培訓(xùn)計(jì)劃表、測(cè)試計(jì)劃、服務(wù)協(xié)議的副本以及業(yè)務(wù)連續(xù)性計(jì)劃（如果有的話）。針對(duì)這樣的情況，業(yè)務(wù)連續(xù)計(jì)劃可以僅由某個(gè)服務(wù)機(jī)構(gòu)上的附加材料組成，該服務(wù)機(jī)構(gòu)通過(guò)電子鏈接來(lái)實(shí)現(xiàn)異地?cái)?shù)據(jù)存儲(chǔ)，只需要一個(gè)協(xié)議以向他們提供所需的辦公空間和最少設(shè)備即可。

圖3.2列舉了支持上述每一個(gè)階段的IR計(jì)劃的示例頁(yè)面。一旦這套程序被明確地形成文檔，就形成了事故響應(yīng)計(jì)劃(IRP)中的事故響應(yīng)(IR)部分，而計(jì)劃部分中所描述的關(guān)鍵信息也被記錄下來(lái)了。