Postępowanie z incydentami w organizacji powinno zapewniać skuteczne podejście do zarządzania nimi. Ustalenie modelu postępowania z incydentami polega na opracowaniu szczegółowej dokumentacji opisującej procesy i procedury takiego postępowania oraz sposoby komunikowania o incydentach. W przeciwnym przypadku organizacja jest narażona na wykrywanie incydentów z opóźnieniem lub niewłaściwe postępowanie w procesie obsługi zaistniałych incydentów.

Dokumenty te są używane w przypadku wykrycia zdarzenia i służą za poradnik w zakresie:

• reagowania na zdarzenia,
• ustalenia, czy zdarzenie jest incydentem,
• zarządzania incydentami aż do ostatecznego ich wyjaśnienia,
• wdrażania udoskonaleń.

Dokumentacja zarządzania incydentami jest przeznaczona dla wszystkich pracowników organizacji, w szczególności:

• osób odpowiedzialnych za wykrywanie i zgłaszanie zdarzeń, ocenę i reagowanie na zdarzenia i incydenty,
• osób zaangażowanych w działania podjęte po fazie wyjaśniania incydentu, w doskonalenie procesu zarządzania incydentami i samego systemu, personelu wspierającego działania operacyjne, kierownictwa organizacji, działu prawnego, rzecznika biura prasowego.

Zgłaszanie zdarzeń

Celem zgłaszania zdarzeń związanych z bezpieczeństwem jest umożliwienie szybkiego podjęcia działań. W związku z tym organizacja powinna mieć opracowane procedury zgłaszania zdarzeń związanych z bezpieczeństwem, a pracownicy organizacji i firm trzecich realizujących zadania w tej organizacji, powinni mieć świadomość istnienia takiej procedury i znać jej zakres. Wszyscy użytkownicy powinni znać zasady zgłaszania incydentów bezpieczeństwa i słabości systemu oraz powinni być poinformowani o wyznaczonym punkcie kontaktowym.

Zdarzenia mogą być wykrywane przez osoby, które zauważą coś niepokojącego, lub przez urządzenia i środki techniczne, które przesyłają sygnały alarmowe.

Niezależnie od źródła wykrycia zdarzenia naruszenia bezpieczeństwa każda osoba powiadomiona o tym fakcie lub taka, która sama zauważyła coś niezwykłego, jest odpowiedzialna za zainicjowanie dalszego postępowania i za poinformowanie innych. Istotne jest, aby cały personel był świadomy możliwości zaistnienia naruszenia bezpieczeństwa oraz miał dostęp do wytycznych opisujących zgłaszanie różnych typów zdarzeń.

Osoba zgłaszająca zdarzenie powinna wypełnić odpowiedni formularz, podając jak najwięcej dostępnych informacji. Istotne są nie tylko dokładność i kompletność informacji, niekiedy przede wszystkim czas.

W opisie incydentu należy zamieścić takie istotne informacje jak:

• na czym polega incydent,
• data i godzina wystąpienia incydentu,
• imię i nazwisko oraz informacje kontaktowe (miedzy innymi numer telefonu) zgłaszającego,
• jakiego systemu czy aplikacji dotyczy incydent,
• nazwa i adres sieciowy komputera, w którym zaistniał incydent oraz ewentualnie analogiczne informacje o innych komputerach dotkniętych skutkami incydentu,
• system operacyjny komputera (i ewentualnie jego wersja),
• krótki opis konfiguracji sprzętowej komputera, jeśli jest on istotny dla diagnostyki i klasyfikacji incydentu,
• opis incydentu (dokładniejsze informacje o incydencie),
• kiedy wystąpił i czy jest powtarzalny (nieregularnie lub regularnie z określonym cyklem powtórzeń), ewentualny wpływ incydentu na funkcjonowanie systemu, w którym incydent wystąpił oraz w systemach z nim powiązanych i zależnych,
• wstępne oszacowanie szkód, jeśli doszło do materializacji takowych,
• czy czynnik wywołujący incydent (na przykład intruz albo oprogramowanie złośliwe) został zidentyfikowany i czy jego aktywność nadal trwa,
• zależność systemu, w którym wystąpił incydent względem innych systemów dotkniętych skutkami incydentu,
• komunikaty oraz (jeśli są dostępne) logi systemowe (w załącznikach),
• ewentualnie zrzuty ekranowe (w załącznikach).

Procedury zgłaszania powinny określać:

• proces zwrotnego informowania zgłaszających zdarzenia naruszenia bezpieczeństwa o wynikach postępowania ze zdarzeniem, a co najmniej zgłoszeniem,
• formularze zgłaszania zdarzeń naruszania bezpieczeństwa, pomagające zgłaszającym utrwalić wszystkie niezbędne fakty,
• poprawne zachowanie w przypadku takich zdarzeń obejmujące:
• obowiązek natychmiastowego zanotowania wszystkich ważnych szczegółów (np. typu niezgodności lub naruszenia, błędu działania, wiadomości z ekranu, dziwnego zachowania),
• zakaz podejmowania jakichkolwiek własnych działań i natychmiastowe zgłoszenie incydentu do punktu kontaktowego.

Dokumentacja w zakresie zarządzania incydentami

Organizacja powinna stworzyć procedury dotyczące zarządzania incydentami związanymi z bezpieczeństwem, obejmujące zasady ich zgłaszania oraz postępowania z nimi.

Opracowanie dokumentacji dotyczącej postępowania z incydentami obejmuje:

• sformułowanie polityki (instrukcji, procedury) zarządzania incydentami,
• celem polityki jest wskazanie podstawowych zasad zarządzania incydentami naruszania bezpieczeństwa informacji w organizacji, które będą podstawą do opracowania i wdrożenia procesu zarządzania incydentami,
• polityka jest przeznaczona dla wszystkich osób posiadających uprawniony dostęp do zasobów informacyjnych organizacji. Powinna być dostępna dla każdego pracownika, współpracownika lub zleceniobiorcy organizacji oraz powinna być uwzględniona w programie uświadamiającym i szkoleniowym.
• polityka powinna zawierać: przegląd kwestii związanych z wykrywaniem, zgłaszaniem i gromadzeniem informacji o zdarzeniach oraz zdefiniowaniem, w jaki sposób mogą one być wykorzystane do określenia incydentów - przegląd ten powinien zawierać podsumowanie możliwych typów zdarzeń, sposobów wyjaśniania, zakresu raportowania (co, w jaki sposób, gdzie i do kogo przekazywać) oraz sposobu reagowania na nowe, nieznane dotąd, typy zdarzeń, określać modelowy przegląd oceny incydentu, ustalenie kto jest odpowiedzialny za jego zaistnienie, wskazanie co ma być zrobione, powiadomienie zainteresowanych stron i przełożonych, wskazywać, jak przeprowadzać podsumowanie działań, podjętych po potwierdzeniu faktu, że zdarzenie jest incydentem, co obejmuje:
• ocenę pierwszej reakcji,
• analizę śladów i dowodów,
• komunikację ze wszystkimi zainteresowanymi stronami,
• ocenę, czy przebieg incydentu jest kontrolowany,
• wskazanie właściwej dalszej reakcji,
• podjęcie działań kryzysowych,
• określenie warunków informowania przełożonych,
• wskazanie, kto jest odpowiedzialny za poszczególne działania.
• polityka powinna wskazywać potrzebę zadbania o to, aby:
• wszystkie działania zostały właściwie zapisane w celu ich późniejszej analizy,
• prowadzone było ciągłe monitorowanie w celu zapewnienia bezpieczeństwa zgromadzonych i przechowywanych śladów i dowodów (także w wersji elektronicznej), szczególnie w przypadku gdy będzie to wymagane do prowadzenia śledztwa lub wewnętrznego postępowania wyjaśniającego
• określać działania podjęte po zamknięciu incydentu, włącznie z wnioskami wyciągniętymi z przebiegu i wyjaśniania incydentu oraz udoskonalaniem procesu zarządzania incydentami,
• wskazywać miejsce przechowywania dokumentacji zarządzania incydentami (włącznie z procedurami),
• określać, jak dokonywać przeglądów programu uświadamiającego i szkoleniowego w zakresie zarządzania incydentami.
• W polityce należy uwzględnić podstawowe informacje obejmujące:
• strukturę organizacyjną zespołu zajmującego się zarządzaniem incydentami wraz z identyfikacją kluczowego personelu oraz określeniem, kto jest odpowiedzialny za:
• powiadamianie o incydentach najwyższego kierownictwa organizacji,
• gromadzenie informacji i podejmowanie działań,
• kontakty organizacjami zewnętrznymi,
• opracowanie szczegółowego schematu zarządzania incydentami, który powinien uwzględniać:
• skalę ważności incydentów, umożliwiającą ich formalny podział,
• wzorce formularzy do zgłaszania i raportowania zdarzeń i incydentów, opis powiązanych z nimi procedur i działań z odniesieniami do procedur wykorzystywanych przez systemy i plan zapewniania ciągłości działania,
•  operacyjne procedury ze zdefiniowaną odpowiedzialnością oraz przydzieleniem ról konkretnym osobom w celu wykonywania takich czynności: 
• wyłączenie systemu, co w poszczególnych przypadkach powinno być poprzedzone uzgodnieniem tego z właścicielem biznesowym oraz z osobą odpowiedzialną za systemy teleinformatyczne, 
• pozostawienie działającego systemu,
• uruchomienie procedur odtwarzania z kopii zapasowych, procedur planu zapewniania ciągłości działania oraz podjęcie działań wynikających z polityk bezpieczeństwa poszczególnych systemów,
• zapewnianie bezpiecznego przechowywania śladów i dowodów (także w wersji elektronicznej), szczególnie w przypadku gdy niezbędne jest przeprowadzenie działań śledczych lub wewnętrznego postępowania wyjaśniającego,
• wymiana informacji o incydentach z innymi osobami wewnątrz organizacji lub z osobami (organizacjami) trzecimi.