2)檢測

檢測的目的是先確認(rèn)事件是否真的發(fā)生， 領(lǐng)域，其當(dāng)前造成的危害和影響范圍有多大， 檢測階段，需要依次進(jìn)行以下幾方面的工作。

在肯定有安全事件發(fā)生后判定問題所發(fā)生的以及發(fā)展的速度與進(jìn)一步的威脅是什么。在首先，進(jìn)行監(jiān)測、報(bào)告及信息收集。通過已經(jīng)建立的信息安全事態(tài)／事件監(jiān)測及報(bào)告制度，收集并報(bào)告一切異常和可疑信息，以檢測信安全事件的發(fā)生。應(yīng)急響應(yīng)組織在接到報(bào)告或在察覺到有異常現(xiàn)象后，應(yīng)立即開始行動(dòng)，從多方面進(jìn)一步收集有價(jià)值的信息來開展檢測工作。其次，確定事件類別和級(jí)別。再次，初步動(dòng)作和響應(yīng)。應(yīng)急響應(yīng)組織在接到報(bào)告或在察覺到有異常現(xiàn)象后，可以先進(jìn)行以下初步響應(yīng)工作：激活和增強(qiáng)審計(jì)功禽旨、迅速備份完整系統(tǒng)、記錄所發(fā)生的事件。最后，評(píng)估事件的影響范圍。最后，進(jìn)行事件通告，包括信息通報(bào)、信息上報(bào)和信息披露三方面。