當(dāng)?shù)?章中確定的威脅中的某一個變成真實的攻擊時，只要它具有以下所有的特征，它便被分類為信息安全事故：

*它直接針對信息資產(chǎn)

*它有實際的成功機會

*它威脅到信息資源和資產(chǎn)的機密性、完整性和可用性

對威脅和攻擊的預(yù)防已經(jīng)被有意地從這些討論中省略了，因為針對這類可能性的防護完全是信息安全部門的職責(zé)。IR是一個響應(yīng)方法，而不是預(yù)防方法，理解這一點是很重要的。

創(chuàng)建一個機構(gòu)IRP的責(zé)任通常會落到CISO肩上，在CP團隊中的其他主管和系統(tǒng)管理員的協(xié)助下，CISO應(yīng)該從利益團體中選擇成員來組成一個獨立的IR團隊以執(zhí)行IRP。IR團隊成員的角色和責(zé)任應(yīng)該清晰地以文檔記錄下來并在機構(gòu)中進(jìn)行傳達(dá)。IRP也包括一個執(zhí)勤名單，它列出了在事故發(fā)生期間應(yīng)該聯(lián)系的特定關(guān)鍵機構(gòu)。

使用前面討論過的6步CP過程，CP團隊創(chuàng)建了IRP，IR程序也已經(jīng)成型了。 對于每一個事故，CP團隊都創(chuàng)建3套事故處理程序：

①事故中：計劃者制定并用文件的形式規(guī)定在事故發(fā)生期間必須執(zhí)行的程序。這些程序都被分類并分配給個人。系統(tǒng)管理員的任務(wù)不同于主管的任務(wù)，所以計劃委員會的成員們必須擬定一組功能各有側(cè)重的程序。

②事故后：一旦起草完處理事故的程序，計劃者就會制定并成文，規(guī)定在事故平息之后必須馬上執(zhí)行的程序。再者，可以為單獨的功能區(qū)域制定不同的程序。

③事件前：計劃者起草第3套程序，必須執(zhí)行這些程序以對事故做出準(zhǔn)備。這些程序包括詳細(xì)的數(shù)據(jù)備份計劃表、災(zāi)難恢復(fù)準(zhǔn)備、培訓(xùn)計劃表、測試計劃、服務(wù)協(xié)議的副本以及業(yè)務(wù)連續(xù)性計劃（如果有的話）。針對這樣的情況，業(yè)務(wù)連續(xù)計劃可以僅由某個服務(wù)機構(gòu)上的附加材料組成，該服務(wù)機構(gòu)通過電子鏈接來實現(xiàn)異地數(shù)據(jù)存儲，只需要一個協(xié)議以向他們提供所需的辦公空間和最少設(shè)備即可。

圖3.2列舉了支持上述每一個階段的IR計劃的示例頁面。一旦這套程序被明確地形成文檔，就形成了事故響應(yīng)計劃(IRP)中的事故響應(yīng)(IR)部分，而計劃部分中所描述的關(guān)鍵信息也被記錄下來了。