Оценка возможности сотрудников организации и, в технической части, средств защиты информации по мониторингу, регистрации, обнаружению, реагированию, оценке и осуществлению корректирующих действий при реагировании на инциденты информационной безопасности. Этапы оценки: проведение действий, имитирующих внештатную ситуацию, оценка реагирования (анализ эффективности средств защиты, анализ эффективности действий персонала и их соответствия принятой в организации политике реагирования), оценка эффективности проведенного разбора инцидентов и выработанных корректирующих мер. Состав действий, имитирующих внештатную ситуацию, разрабатывается исходя из актуальных рисков организации. Работы выполняются без уведомления ответственных сотрудников. После завершения фазы тестирования будет произведен анализ журналов, отчетов, сообщений и конфигураций ресурсов. Сопоставляя информацию с проведенными действиями можно будет определить, какие из них были зафиксированы, могли быть зафиксированы, но не были, не могли быть зафиксированы. Оценка эффективности действий персонала производится на основании информации, полученной в результате анализа эффективности СЗИ. Оценке подлежат состав действий, сроки и порядок реагирования. Оценка может учитывать соответствие действующим документам и лучшим практикам.