當第2章中確定的威脅中的某一個變成真實的攻擊時，只要它具有以下所有的特征，它便被分類為信息安全事故：

*它直接針對信息資產

*它有實際的成功機會

*它威脅到信息資源和資產的機密性、完整性和可用性

對威脅和攻擊的預防已經被有意地從這些討論中省略了，因為針對這類可能性的防護完全是信息安全部門的職責。IR是一個響應方法，而不是預防方法，理解這一點是很重要的。

創建一個機構IRP的責任通常會落到CISO肩上，在CP團隊中的其他主管和系統管理員的協助下，CISO應該從利益團體中選擇成員來組成一個獨立的IR團隊以執行IRP。IR團隊成員的角色和責任應該清晰地以文檔記錄下來并在機構中進行傳達。IRP也包括一個執勤名單，它列出了在事故發生期間應該聯系的特定關鍵機構。

使用前面討論過的6步CP過程，CP團隊創建了IRP，IR程序也已經成型了。 對于每一個事故，CP團隊都創建3套事故處理程序：

①事故中：計劃者制定并用文件的形式規定在事故發生期間必須執行的程序。這些程序都被分類并分配給個人。系統管理員的任務不同于主管的任務，所以計劃委員會的成員們必須擬定一組功能各有側重的程序。

②事故后：一旦起草完處理事故的程序，計劃者就會制定并成文，規定在事故平息之后必須馬上執行的程序。再者，可以為單獨的功能區域制定不同的程序。

③事件前：計劃者起草第3套程序，必須執行這些程序以對事故做出準備。這些程序包括詳細的數據備份計劃表、災難恢復準備、培訓計劃表、測試計劃、服務協議的副本以及業務連續性計劃（如果有的話）。針對這樣的情況，業務連續計劃可以僅由某個服務機構上的附加材料組成，該服務機構通過電子鏈接來實現異地數據存儲，只需要一個協議以向他們提供所需的辦公空間和最少設備即可。

圖3.2列舉了支持上述每一個階段的IR計劃的示例頁面。一旦這套程序被明確地形成文檔，就形成了事故響應計劃(IRP)中的事故響應(IR)部分，而計劃部分中所描述的關鍵信息也被記錄下來了。