Organisaation on määriteltävä selkeät kriteerit sille, milloin havaitut poikkeamat johtavat virallisiin häiriötilanteiden torjuntatoimiin. Näihin laukaiseviin tekijöihin olisi sisällyttävä:

• viitteitä haitallisesta toiminnasta tai järjestelmän vaarantumisesta
• tietojen saatavuuden, eheyden, aitouden tai luottamuksellisuuden menetys
• vaikutus toimintaan tai liiketoimiin
• järjestelmän/verkon toimimattomuus
• asiayhteyteen liittyvät tekijät, kuten vaikutuksen kohteena olevien palvelujen kriittisyys

Nämä säännöt on dokumentoitava, automatisoitava mahdollisuuksien mukaan ja integroitava häiriötilanteiden toimintaohjeisiin ja havaitsemisjärjestelmiin.

Organisaatiolla olisi oltava menettely tietoturvahäriöiden luokittelemiseksi käsittelyn aikana. Häiriö olisi luokiteltava vähintään seuraaviin luokkiin:

• Henkilöstö
• Fyysinen
• Kyber

Tämän jälkeen vaaratilanne olisi luokiteltava sen vaikutusten perusteella esimerkiksi seuraavasti:

• Ei turvallisuusriskiä
• Havainto
• Parannusehdotus
• Haavoittuvuus
• Tietoturvahäiriö

Tämän jälkeen vaaratilanteet olisi asetettava tärkeysjärjestykseen vaaratilanteen vakavuuden perusteella.

Usein turvallisuustyökalut tarjoavat tavan asettaa hälytyksiä (alert policies), kun organisaation ympäristössä tapahtuu jotain mahdollisesti vaarallista. Esim. Microsoft 365 -ympäristössä on sisäänrakennettuja hälytyskäytäntöjä, jotka pyrkivät varoittamaan pääkäyttäjäoikeuksien väärinkäytöstä, haittaohjelmista, mahdollisista sisäistä ja ulkoisista riskeistä sekä riskeistä tietoaineistojen turvallisuudelle.

Organisaation on tunnistettava tietoturvaan liittyvät tapahtumat tietojärjestelmissä sekä niiden toimintaan liittyvissä ympäristöissä. Näihin tapahtumiin liittyviin muutoksiin reagoimiseksi on luotava hälytyskäytännöt.

Hälytyskäytäntöjä on valvottava aktiivisesti ja niitä on muokattava kokemuksen perusteella.