組織應使用商定的信息安全事件和事故分類規(guī)范評估每個信息安全事態(tài)以確定該事態(tài)是否該歸于信息安全事件。事件的分類和優(yōu)先級可以幫助標識事件的影響和范圍。當組織中有信息安全響應團隊(ISIPiT)時，評估和決策宜被轉發(fā)至該團隊確認和再評估。應詳細記錄評估和決策的結果，供日后參考和驗證。

所有信息安全事件應按照既定規(guī)程應急響應預案件，通過任命的聯(lián)絡人、組織內相關人員和外部團體對信息安全事件予以響應。

組織應該安排專職人員統(tǒng)計監(jiān)測信息安全事件的類型、數量和造成的損失。應使用分析和解決信息安全事件中得到的經驗來減少未來相似事件帶來的影響。

對于可以作為電子證據的信息，組織應定義和使用可以標識、收集、獲取和保存該信息的規(guī)程。通常的，電子證據手機規(guī)程應根據不同介質、設備及其狀態(tài)如開機或關機提供鑒定、收集、采集和保存證據的過程。如果可以，應尋找執(zhí)法機關人員和具有電子證據取證工具的資格認證或其他相關手段，以加強保存證據的價值。證據可以超越組織或管轄區(qū)域的邊界。在這樣的情況下，應確保組織有資格去收集要求的信息作證據。還應考慮不同國家地區(qū)對于取證的要求，以使證據跨越相關管轄區(qū)域被允許進入的機會最大化。