Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Organisaatio määrittelee kriteerit häiriötilanteiden toipumistoimenpiteiden aloittamiselle. Tapahtunutta häiriötä arvioidaan näiden kriteerien perusteella ja määritetään, onko vaaratilanteen korjaamisprosessi käynnistettävä vähintään näiden toimenpiteiden avulla:

• Sovelletaan häiriön toipumiskriteerejä häiriötilanteen tunnettuihin ja oletettuihin ominaisuuksiin sen arvioimiseksi, pitäisikö toipumisprosessit käynnistää, ottaen huomioon tekijät kuten vakavuus, vaikutus ja laajuus.
• Arvioidaan häiriöiden toipumistoimien mahdollisesti aiheuttamat toiminnalliset häiriöt ja kehitetään strategioita, joilla minimoidaan vaikutukset käynnissä olevaan liiketoimintaan toipumisvaiheen aikana.
• laaditaan selkeät kriteerit häiriötilanteen toipumistoimien priorisoimiseksi häiriön luonteen perusteella, mukaan lukien tietojen herkkyys, järjestelmät, joihin häiriö vaikuttaa, ja liiketoiminnan jatkuvuusvaatimukset.

dokumentoidaan päätöksentekoprosessi toipumistoimien käynnistämiseksi ja varmista, että siitä tiedotetaan asiaankuuluville sidosryhmille avoimuuden ja yhdenmukaisuuden varmistamiseksi.

Organisaatiolla tulisi olla määritelty ja hyvin dokumentoitu toipumissuunnitelma. Toipumissuunnitelma olisi voitava käynnistää häiriötilanteen aikana tai sen jälkeen. Elvytystoimet ja -toimenpiteet vaihtelevat vaaratilanteesta toiseen, esimerkiksi vaaratilanteen tyyppi voi vaikuttaa toteutettaviin toimiin. Näihin toimiin voivat kuulua:

• Häiriön aikana menetettyjen tai vahingoittuneiden tarpeettomien resurssien aktivointi uudelleen.
• Laitteiston ja ohjelmistojen uudelleenasentaminen vaurioituneisiin komponentteihin
• Konfiguraatioasetusten palauttaminen, mukaan lukien tarvittavat mukautukset
• Häiriön aikana pysäytettyjen palvelujen palauttaminen

Organisaation olisi omaksuttava "build back better" -ajattelutapa, kun se rakentaa ICT-järjestelmiä uudelleen. Tämä tarkoittaa, että järjestelmät olisi rakennettava uudelleen parempaan tilaan kuin ne olivat ennen häiriötä.

Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.

Ensimmäisen tason reagointiprosessissa vähintään:

• pyritään tehokkaasti vahvistamaan todettu häiriö
• päätetään tarpeesta välittömään reagointiin

Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.