پس از انجام مرحله تشخیص و تحلیل حادثه و مشخص شدن دقیق سناريوي مد نظر حمله كننده، مجموعه عملیات زیر صورت میگیرد:
الف) محدودسازی حادثه:هدف از محدودسازي، متوقف كردن يا كاهش دامنه نفوذ خرابيها میباشد. در این راستا مجموعه اقدامات لازم توسط کارشناسان مرکز انجام خواهد شد.
ب) ریشهکنی حادثه:منظور از ريشهكني حوادث، رفع يا كم اثر كردن اثرات ناشي از وقوع حادثه امنيتي در يك سيستم يا شبكه است. بررسي عدم وجود نشانههاي آسيبپذيري در ديگر سيستمهاي موجود در شبكه سازمان آسيب ديده، یکی از مهمترین اقدامات انجام شده در این مرحله میباشد.
ج) ترمیم حادثه:منظور از ترميم حادثه، بازگرداندن سيستمهاي آسيبپذير به وضعيت اوليه خود است. پس از محدودسازي و ريشهكني حادثه لازم است كه دادههاي از بين رفته با دادههاي سالم جايگزين شوند و سيستم آسيب ديده براي استفاده دوباره آماده گردد. کارشناسان این مرکز با در اختیار داشتن مجموعه متنوعی از ابزارها و نرمافزارهاي مورد نياز براي بازيابي خرابيها قادرند بهبهترین وجه این کار را انجام دهند.
د) مستندسازي اقدامات انجام گرفته در راستاي ترميم حادثه:در مرحله آخر، كليه اقدامات انجام شده مستندسازي و مكتوب خواهند شد.
