Het gebied omvat alle soorten beveiligingsincidenten die IT-systemen raken, zoals malware-infecties, ongeautoriseerde toegang, datalekken, informaticasabotages en verstoringen in netwerkdiensten, ongeacht of data lokaal of in de cloud staat. Incidentrespons wordt vaak ingedekt door internationale standaarden zoals ISO/IEC 27035 en NIST SP 800-61, en door een aangepast incidentresponsplan (IRP) conform de organisatiecultuur en risicobasis. Een volwassen IRP kent meerdere fasen: voorbereiding, detectie en analyse, containment, eradicatie en herstel, gevolgd door nazorg en lessen.
Voorbereiding omvat het toewijzen van rollen en verantwoordelijkheden, opstellen van contactlijsten, training en oefeningen, en het bepalen van communicatieroutes. Detectie en analyse betreffen monitoring, triage van meldingen, forensische waarborgen en het bepalen van ernst en impact. Containment richt zich op tijdelijk beperken van schade en voorkomen van verspreiding, inclusief isolatie van systemen. Eradicatie en herstel omvat het verwijderen van oorzaken, herstellen van systemen en het terugzetten van data en diensten. Nazorg en leren gaan over een post-incident evaluatie, het documenteren van bevindingen en het doorvoeren van verbeteringen in beveiliging en procedures. Transparante communicatie met betrokken partijen en privacywetgeving en sectorregels worden hierbij meegenomen.
Organisatorisch zijn het Incident Response Team (IRT), een Security Operations Center (SOC), IT- en beveiligingsafdelingen, juridische zaken, communicatie en management betrokken. Duidelijke escalatieroutes, bevoegdheden en communicatieprotocollen zijn essentieel, evenals een gecontroleerde berging van bewijsmateriaal volgens forensische normen. Uitkomsten en leerpunten worden vaak gerapporteerd aan governance- en risicomanagementprocessen, en leiden tot aanpassingen in beleid, training en technologische maatregelen. In de EU kunnen datalekken onder de GDPR meldplicht en tijdslijnen opleveren; vergelijkbare wetgeving kan in andere regio's van toepassing zijn.
Metingen zoals tijd tot detectie (MTTD), tijd tot respons (MTTR) en incidentvolume, samen met het percentage opgeloste incidents binnen afgesproken termijnen, helpen bij het beoordelen van effectiviteit. Regelmatige oefeningen, post-incident reviews en bijwerken van IRP-documenten ondersteunen continue verbetering en robuuste continuïteit.