Организация должна знать, как реагировать на произошедший инцидент. В каждой организации должен быть разработан и внедрен план реагирования на инциденты. Помимо плана необходимо также сформировать группу реагирования на инциденты компьютерной безопасности (CSIRT). Группа CSIRT имеет следующие функции:
Актуализация плана реагирования на инциденты
Обеспечение ясного понимания плана членами группы
Тестирование плана
Согласование плана с руководством
Группа CSIRT может иметь постоянный (например, специальное подразделение организации) или несистематический формат. В своих действиях группа руководствуется планом и выполняет заранее определенную последовательность шагов, что гарантирует единообразие и полноту реагирования. Национальные группы CSIRT отвечают за реагирование на инциденты безопасности на уровне государства.
