Политика компьютерной безопасности должна определить, какой подход должен использоваться сотрудниками организации в ходе ответных мер при подозрении на атаку. Порядок действий в таких ситуациях должен быть определен заранее и размножен в письменном виде. Должен быть учтен ряд типовых проблем, возникающих при происшествии, чтобы их решение было логичным с точки зрения интересов организации, а не подсказанным паникой.
Вопросы, на которые надо обязательно заранее дать ответ:

• Кто будет отвечать за принятие решений об ответных действиях?
• Следует ли привлекать сотрудников правоохранительных органов?
• Будет ли организация сотрудничать с другими при попытках установить личность злоумышленника?
• Будет ли атака отражена сразу после ее обнаружения, или вы позволите потенциальному злоумышленнику продолжить свои действия?

Например, политика обнаружения атаки - высокий риск выглядит следующим образом:
Программно-аппаратные средства:
На всех хостах и серверах должны быть включены функции протоколирования. Функции подачи сигналов тревоги, а также протоколирование, включены на всех МЭ и других средствах управления доступом.
На всех критических серверах должны быть установлены дополнительные средства обнаружения атак, которые работают по принципам, отличным от тех, которые используются основными средствами этого рода, установленными на всех серверах.
Во всех местах сети, в которых происходит концентраций трафика, должны быть установлены средства обнаружения атак, следящие за появлением в трафике признаков атак, соответствующим признакам, имевшим место при известных атаках.
Организационные меры:
Должны выполняться периодические проверки целостности МЭ и других систем управления доступом периметра безопасности.
Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности, хостов и серверов во внутренней, защищенной сети.
Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.
Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет возможной атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.
Системы анализа трафика для обнаружения вторжения должны периодически проверяться на правильность работы и корректность конфигурации.