Dokumentace kybernetického bezpečnostního incidentu. Záznam o kybernetickém bezpečnostním incidentu – všechna získaná data a informace o kybernetických bezpečnostních incidentech včetně realizovaných opatřeních jsou vedeny v provozovaném informačním systému v rámci SOC a objednatel má do systému vytvořen přístup. • Důkazní materiál – CSIRT-SOC je zodpovědný za sběr všech informací týkajících se kybernetického bezpečnostního incidentu a bezpečné uložení veškerého důkazního materiálu. Musí být náležitě zdokumentováno, jak byl veškerý důkazní materiál včetně zasažených systémů uchován. Aby byl důkazní materiál přípustný pro použití v soudním řízení, musí být shromažďován v souladu se všemi obecně závaznými právními předpisy a interními předpisy zapojených subjektů. Vždy musí být zřejmé, kde a u koho se důkazní materiál nachází. Kdykoliv je důkazní materiál někomu předán, vyplní předávající osoba příslušný předávací formulář, který podepíší obě strany. Podrobný záznam k veškerému důkaznímu materiálu vede osoba, u níž je materiál uložen. Obsah záznamu bude stanoven interním předpisem zapojených subjektů v rámci implementace ISMS.
