1、准备阶段

完成安全事件预判、响应和取证方案制定、人员物资调配等工作，为后续应急响应及溯源取证的顺利进行提供保障。

2、检测阶段

完成现场排查分析、制定响应策略等工作，确定事件类型，评估事件影响，制定详细的应急响应策略。

3、抑制阶段

完成抑制方案的制定与实施等工作，限制事件扩散、影响范围以及损失、破坏，并遵循业务影响最小化原则。

4、溯源取证阶段

根据检测阶段结果做进一步溯源分析等工作，并对现场溯源结果按取证流程进行证据固定、保护现场源头系统不被破坏等操作。

5、处置阶段

根据事件抑制情况及分析结果，找出事件根源，明确彻底清除或补救措施，协助客户恢复系统，输出应急响应报告。

6、鉴定阶段

在实验室内对现场固定的数据或者客户寄送的原检材，结合应急响应报告实施鉴定，按客户需求复现，形成《计算机司法鉴定意见书》。

7、报告审核、发布阶段

报告完成后，由技术主管审核，授权签字人复审，报最高管理者批准；组织使用鉴定红章、钢印，并做好相关记录工作。