ハンドブックの「情報セキュリティインシデント対応」の記述は、組織的対策に該当します。これは、サイバーレジリエンスのRespond/Recover機能の基準として活用可能です。この管理策では、インシデント発生を検知した場合に備え、対応手順の整備を求めており、また、疑わしい事象の分析、証拠の収集・保全、および関係者への報告と対応を規定しています。インシデント対応完了後、教訓の収集と反映を通じて、再発防止策を検討し、組織全体の改善（RC.IM）に反映することが求められます。

インシデント対応の具体的な実行には、バックアップや冗長化といった技術的対策が必須となります。これらの技術的要素は、Recover機能の基盤を形成します。インシデント対応体制の有効性は、対応・復旧の所要時間（RTO/RPO）や、インシデント対応訓練の実施頻度と結果によって測定されるべきであり、これはISMSのパフォーマンス評価の重要な指標となります。

なお、インシデント対応を効果的に実施するためには、経営層による統制とリスク判断が不可欠です。情報セキュリティマネジメントシステム（JIS Q 27001）に基づき、組織はインシデントの経験を通じて学習し、対応手順や教育内容を継続的に改善する必要があります。これにより、サイバーレジリエンスの「予測・適応」機能が組織に定着します。

図104. 情報セキュリティインシデント対応イメージ
IPA 「The NIST Cybersecurity Framework (CSF) 2.0（2024年2月）」 の翻訳版をもとに作成