確定的征兆n以下描述的5種類型的候選事件是真正事故的確定的征兆。 也就是說，它們能清楚地表明事故正在進行或已經發生。在這些情況下，必須采

取迅速的應對措施。

①隱匿賬號的使用：許多網絡服務器都保留有默認賬號，并且還存在這樣一些賬號：屬于前任員工的、不享有遠程訪問權限的休假員工的，或是用于系統測試的虛擬賬號。如果有任何使用這些賬號訪問系統資源、查詢服務器或參與其他活動，就幾乎可以肯定一個事故已經發生。

②曰志的變更：明智的系統管理員會把系統日志與數據一同備份。作為常規事故掃描的一部分，系統管理員可以將這些日志與聯機版本相比較，以確定它們是否被更改。如果被更改，而系統管理員又不能完全確定這是一個授權人員的作為，那么事故就已經發生了。

③黑客工具的出現：網絡管理員有時使用系統漏洞或網絡評估工具來掃描內部的計算機和網絡，以確定黑客會在此發現什么。這些工具過去常用來進行攻擊態勢研究。但它們卻時常被員工、承包人或外來人員使用，他們通過訪問本地網絡來侵入系統。為了解決這類問題，許多機構完全禁止在沒有得到CISO許可的情況下而使用這些工具的行為，這使得任何未授權的安裝都違反規定。大多數進行滲透測試操作的機構都要求把所有這類工具的使用限制在特定系統中， 這樣就使得人們不能在一般網絡上使用這類工具，除非正在進行活動的滲透測試。

④助手或伙伴的通知：如果一個商業伙伴或另一個有關機構報告說有一個來自你的計算機系統的攻擊，那么，事故就已經發生了。

⑤黑客的通知：一些黑客喜歡捉弄他們的攻擊目標。一個機構的網頁如果遭到損壞，這就是一個事故；如果機構遭到勒索，要求用金錢來交換其客戶的信用卡信息，那么，事故也已經發生了。

發生真正的事故。一旦下列真正事故被確定后，必須立即采取相應的應對措施：

④可用性喪失：信息或信息系統變得不可用。

②完整性喪失：用戶報告說出現了被破壞的數據文件、垃圾數據或看似錯誤的數據。

③機密性喪失：你被告知敏感信息泄露，或你認為受到保護的信息被泄露。

④違反政策：如果機構的處理信息或信息安全的政策被違反，則事故發生。 
       ⑤違反法律：如果有人違反法律，破壞機構信息資源，則事故發生。