インシデント管理とは、侵害につながる制御の不備に対処するための活動です。インシデント管理とは、情報資産の機密性、完全性、または可用性を損なう可能性のあるセキュリティインシデントを特定、分析、対応し、そこから学ぶプロセスです。インシデント管理の目的は、侵害の影響を最小限に抑え、可能な限り迅速に通常の業務を復旧し、再発の可能性を防止または低減することです。インシデント管理には、以下のような複数のステップが含まれます。
明確な役割と責任を持つインシデント対応チームを設立する インシデントを処理するための手順、ツール、リソースを定義するインシデント対応計画を策定し、維持する インシデントを識別して伝達するための検出および報告メカニズムを実装する インシデントの範囲、重大度、根本原因を評価するためにトリアージと分析を実行する 脅威を封じ込めて根絶し、調査と法的目的のために証拠を保存する 影響を受けたシステムとデータを安全な状態に回復および復元する 学んだ教訓とベストプラクティスに基づいてインシデント対応プロセスと制御を評価および改善する 参考文献 = CISM レビューマニュアル、第 16 版、ISACA、2021 年、223 ～ 232 ページ。

目標復旧時間（RTO）は、組織があらゆる種類の混乱に備えられるよう責任を負う事業継続責任者（BCP）が決定するのが最適です。ビジネスマネージャー、経営幹部、データベース管理者（DBA）は、災害復旧計画の策定と実施において重要な役割を担っていますが、RTOを決定するのは彼らではありません。
この主張を裏付ける参考文献には以下のものがあります:
ISACA（情報システム監査・管理協会）による「事業継続計画（BCP）と災害復旧計画（DRP）」。この資料では、「BCPチームとDRPチームは、重要なプロセスとシステムのRTOを決定する責任を負う」と述べられています。
連邦緊急事態管理庁（FEMA）による「事業継続計画」。このガイドでは、「RTOは組織によって決定され、業務機能の重要度とその機能に許容される最大停止時間に基づいて決定される」と述べられています。
Continuity Centralによる「事業継続計画：プロセス」。この資料では、「BCPチームは、組織の重要な機能、プロセス、システムのRTOを決定する必要がある」と述べられています。RTOの決定は事業継続責任者（BCP）の責任ですが、RTOが組織全体の目標と優先事項と整合していることを確認するために、経営幹部、IT部門、他部門の責任者など、他の利害関係者からの意見も考慮することが重要です。