W nomenklaturze dotyczącej bezpieczeństwa IT, incydenty oznaczają wszelkie zdarzenia, które zagrażają bezpieczeństwu systemu IT w firmie lub instytucji. Incydentami określa się zdarzenia zaistniałe lub takie, które mogą wystąpić w przyszłości. Ich źródło może być zewnętrzne – np. atak wirusa, atak hackerski (włamanie do systemu), wyciek istotnych danych z firmy lub wewnętrzne – nieprzestrzeganie lub naruszanie istotnych procedur bezpieczeństwa, załamanie wydolności lub przerwa w pracy struktury IT z powodu braku zasilania, zalania lub innego uszkodzenia, czy przypadkowe usunięcie istotnych danych z działających serwerów.

Wg zaleceń amerykańskich organizacji dbających o bezpieczeństwo rządu USA, reagowanie na incydenty powinno przebiegać w następujących etapach:

Przygotowanie

W etapie przygotowania tworzy się mechanizmy analizy incydentów i podstawy bezpieczeństwa IT w organizacji.

Wykrycie incydentu

W etapie tym następuje wykrywanie poszczególnych incydentów. Występujące zdarzenie nie musi zagrażać bezpieczeństwu, dlatego należy określić, czy dane zdarzenie jest incydentem i w jakim stopniu zagraża bezpieczeństwu.

Reakcja na incydent

Oznacza opanowanie incydentu, usuwanie jego skutków i naprawę systemu.

Czynności post-incydentalne = Analiza incydentu

To jeden z najważniejszych etapów postępowania w przypadku wystąpienia incydentu. Jego odpowiednie przeprowadzenie może i powinno służyć wyciąganiu wniosków i uszczelnianiu systemu bezpieczeństwa IT w organizacji. Postępowanie w trakcie tego etapu powinno obejmować zabezpieczenie dowodów, przygotowanie dokumentacji zdarzenia, na podstawie której następować będzie późniejsza oraz ich faktyczna analiza. Niezmiernie ważne jest by z dowodami elektronicznymi postępować w sposób właściwy, tak by zachować ciągłość łańcucha dowodowego. Tylko wówczas (jeśli incydent zakończy się procesem sądowym) zgromadzone materiały będą miały wartość dowodową.