No que diz respeito à gestão de incidentes de segurança da informação, é recomendável que a organização defina como identificar, coletar, adquirir e preservar evidências, além de que procedimentos internos sejam desenvolvidos e seguidos para os propósitos de ação legal ou disciplinar, quando necessário. Segundo a norma ABNT NBR ISO/IEC 27002:2013, é recomendável que os procedimentos para registro, guarda e divulgação de evidência de incidentes levem em conta
A) a ficha criminal dos colaboradores da organização.
B) a classificação da ação disciplinar ou legal pelos incidentes ocorridos na organização.
C) o número de incidentes ocorridos em cada mês.
D) papéis e responsabilidades das pessoas envolvidas.
E) os custos envolvidos e o impacto em cada setor da organização.