应急响应分为六个阶段，分别是：

1.准备阶段

准备阶段以预防为主，主要是进行风险评估等工作，包括建立信息安全管理体系、部署安全设备和安全防护软件、建立应急响应和演练制度等。

2.检测阶段

检测阶段是在安全事件发生后进行的，主要是判断安全事件是否还在发生，安全事件产生的原因，对业务的危害程度以及如何处理。
常见的安全事件有：

• 中病毒（勒索、挖矿等
• 信息泄露（账号破坏、敏感资料等
• 业务服务被破坏（网页篡改、破坏、数据被删等
• 系统崩溃、网络瘫痪（doss、批量请求等

3.抑制阶段

抑制阶段主要是尽可能降低安全事件带来的损失，限制安全事件发生的范围和时长。
一些抑制的手段有：

• 断开网络
• 关闭受影响的系统
• 暂停受影响账号的使用
• 修改ACL
• 关闭未受到影响的其它业务
• 蜜罐

4.根除阶段

根除阶段是找出安全事件的根源，并完成清楚隐患，避免安全事件二次发生。

5.恢复阶段

恢复阶段是系统恢复到安全事件发生前的正常运行状态，并把备份数据恢复过来。

6。总结阶段

总结阶段是总结这个安全事件的发生过程，并以此对涉事单位的安全技术配置、安全管理制度等进行分析评审，并以此为基础确定是否还会有新的安全风险，最后提出整改建议，包括安全设备采购、安全管理制度修订等。
这个阶段可以输出：

• 应急响应报告，包括安全事件发生流程、造成的危害、处置的方法
• 企业问题清单