2)检测
检测的目的是先确认事件是否真的发生, 领域,其当前造成的危害和影响范围有多大, 检测阶段,需要依次进行以下几方面的工作。
在肯定有安全事件发生后判定问题所发生的以及发展的速度与进一步的威胁是什么。在首先,进行监测、报告及信息收集。通过已经建立的信息安全事态/事件监测及报告制度,收集并报告一切异常和可疑信息,以检测信安全事件的发生。应急响应组织在接到报告或在察觉到有异常现象后,应立即开始行动,从多方面进一步收集有价值的信息来开展检测工作。其次,确定事件类别和级别。再次,初步动作和响应。应急响应组织在接到报告或在察觉到有异常现象后,可以先进行以下初步响应工作:激活和增强审计功禽旨、迅速备份完整系统、记录所发生的事件。最后,评估事件的影响范围。最后,进行事件通告,包括信息通报、信息上报和信息披露三方面。