Medewerkers hebben een belangrijke rol in het waarnemen van zwakheden in de beveiliging en informatiebeveiligingsincidenten. Zij zijn immers de eerste die informatiebeveiligingsincidenten zien. Hierbij kan bijvoorbeeld gedacht worden aan:
Medewerkers moeten incidenten kunnen melden en de meldingen moeten worden opgevolgd. Meestal zal een melding van een medewerker bij de Servicedesk binnenkomen. De medewerker van de Servicedesk moet daarbij bepalen dat het om een informatiebeveiligingsincident gaat en voert de daarbij behorende procedure voor oplossing en doormelden uit. Wanneer de medewerker van de Servicedesk het informatiebeveiligingsincident niet zelf kan oplossen (door onvoldoende kennis) kan het incident doorgezet worden naar iemand die meer expertise heeft. Dit heet functionele escalatie. Een incident kan ook gemeld worden aan iemand die meer autoriteit heeft om een beslissing te nemen. Dit heet hiërarchische escalatie. Het doel van het beheer van informatiebeveiligingsincidenten is het inzicht krijgen in incidenten en daarvan te leren voor de toekomst. Het principe van Continual Service Improvement ligt hier aan ten grondslag.
Incidenten zijn er in vele vormen en maten. De ISO 20000® standaard schrijft voor hoe incidenten beheert kunnen worden in het incidentmanagement proces. Het doel van het incidentmanagement proces is ervoor zorgen dat gebeurtenissen en zwakheden die verband houden met informatiesystemen bekend worden, zodat tijdig maatregelen genomen kunnen worden.
Werknemers, ingehuurd personeel en externe gebruikers horen op de hoogte te zijn van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de betrouwbaarheid van de informatie en de beveiliging van de bedrijfsmiddelen. Zij behoren te worden verplicht alle gebeurtenissen en zwakke plekken zo snel mogelijk te melden aan de servicedesk. De nadruk hierbij ligt uiteraard bij het gemeenschappelijk belang dat iedereen in de organisatie heeft bij een snelle reactie. Twee zaken zijn hierbij van groot belang:
De afspraken over wat te doen bij een incident worden over het algemeen vastgelegd in procedures, een procedure beschrijft immers wie wat moet doen.
De incidentcyclus kent de volgende stadia: dreiging, incident, schade en herstel. Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen zijn bedoeld om:
Deze maatregelen dienen om de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie te borgen.
"*" geeft vereiste velden aan