评估客户的应急准备状态，建立并及时修改应急预案执行程序，检查应急预案的缺陷和不足，协助用户描述整体目标、演练方式、覆盖部门，落实相关机构，进行应急演练。

各阶段工作内容如下：

准备阶段

1）明确客户应急需求；

2）了解客户单位应急预案内容；

3）确定应急服务流程；

4）准备应急服务人员和工具；

5）对在应急处理服务过程中可能会采取的操作、处理等行为，获得用户的书面授权。

检测阶段

1）确定检测对象及范围；

2）对发生异常的系统进行信息的收集与分析，判断是否真正发生了安全事件；

3）与客户共同确定应急处理方案；

4）与客户充分沟通，并预测应急处理方案可能造成的影响；

5）开展检测实施。

抑制阶段

1）评估入侵范围、影响、损失，分析来源，确定抑制方法；

2）告知客户面临的首要问题和抑制阶段可能的风险，取得客户对抑制方法和措施的认可；

3）遵照已认可的抑制措施进行实施；

4）应急服务提供者需严格按照相关约定实施抑制，不得随意更改抑制措施和范围，如有必要更改要填写《变更申请表》，并获得客户单位的授权。

根除阶段

1）检查客户单位所有受影响系统，准确判断，确定根除方法；

2）告知客户所采取的根除措施可能带来的风险，取得客户对根除方法和措施的认可；

3）使用可信工具开展抑制实施；

恢复阶段

1）告知客户网络或信息安全事件的恢复方法及可能存在的风险，取得客户对恢复方法和措施的认可；

2）按照系统初始化安全策略恢复系统；

3）对不能彻底恢复、消除，或不能确定已根除的系统，进行重建；

总结阶段

1）保存完整的网络或信息安全事件处理记录，并对事件处理过程进行总结和分析；

2）分析、总结处理过程，提供网络或信息安全事件处理报告；

3）提供网络或信息安全方面的建议和意见，并指导和协助客户实施；

4）告知可能涉及的法律诉讼的要求或影响。