2)檢測

檢測的目的是先確認事件是否真的發生， 領域，其當前造成的危害和影響范圍有多大， 檢測階段，需要依次進行以下幾方面的工作。

在肯定有安全事件發生后判定問題所發生的以及發展的速度與進一步的威脅是什么。在首先，進行監測、報告及信息收集。通過已經建立的信息安全事態／事件監測及報告制度，收集并報告一切異常和可疑信息，以檢測信安全事件的發生。應急響應組織在接到報告或在察覺到有異常現象后，應立即開始行動，從多方面進一步收集有價值的信息來開展檢測工作。其次，確定事件類別和級別。再次，初步動作和響應。應急響應組織在接到報告或在察覺到有異常現象后，可以先進行以下初步響應工作：激活和增強審計功禽旨、迅速備份完整系統、記錄所發生的事件。最后，評估事件的影響范圍。最后，進行事件通告，包括信息通報、信息上報和信息披露三方面。