Playbook Tindak Balas Insiden AI: Cara Bertindak Balas Apabila AI Gagal
Chatbot AI memberitahu pelanggan mereka berhak mendapat bayaran balik yang mereka tidak berhak. Pengringkas AI meninggalkan klausa kontrak kritikal semasa semakan wajar, dan peninggalan itu tidak dikesan sehingga selepas tandatangan. Model pemarkahan lead AI mula menghala prospek bernilai tertinggi anda kepada wakil yang salah, dan tiada siapa yang menyedari selama tiga minggu.
Ini adalah insiden AI. Dan ia berbeza dari insiden IT yang sudah diketahui pasukan anda cara mengendalikannya.
Adakah proses tindak balas insiden anda tahu perbezaannya? Jika tidak, anda akan bertindak balas terlalu lambat kepada isyarat yang salah, mengeskalet perkara yang salah, dan terlepas masalah yang secara senyap mempengaruhi ratusan keputusan sebelum sesiapa menyedarinya.
Playbook ini untuk CIO, ketua keselamatan, dan pasukan transformasi yang membina keupayaan tindak balas insiden khusus AI pertama mereka, atau mengaudit sama ada proses sedia ada mereka mencukupi. Ia disambungkan kepada Membina Dasar Penggunaan AI Anda (yang mentakrifkan skop AI yang diberi kuasa) dan Jejak Audit untuk Tindakan Execute AI (yang menyediakan asas bukti untuk penyiasatan).
Bagaimana insiden AI berbeza dari insiden IT
Fakta Utama: Risiko Insiden AI
- GDPR Artikel 33 memerlukan pemberitahuan kepada pihak berkuasa penyeliaan yang relevan dalam masa 72 jam dari saat menyedari pelanggaran data peribadi; jam 72 jam bermula apabila organisasi menyedari, bukan apabila penyiasatan selesai (GDPR Artikel 33)
- Kategori insiden AI termasuk halusinasi, ralat Execute, berat sebelah, pendedahan data, dan hanyutan model; tindak balas insiden IT tradisional (dibina di sekitar kegagalan dua keadaan atas/bawah) terlepas sifat tersembunyi dan probabilistik kegagalan AI yang boleh mempengaruhi ratusan keputusan sebelum dikesan (penyelidikan NIST Cybersecurity Framework)
- Gartner meramalkan bahawa lebih 40% projek AI agentik akan dibatalkan menjelang 2027, dengan rangka kerja tadbir urus yang gagal mengikut perkembangan sebagai punca utama; infrastruktur tindak balas insiden adalah salah satu daripada tiga komponen tadbir urus yang paling biasa tidak ada (Gartner, 2025)
Tindak balas insiden IT tradisional dibina di sekitar model mudah: sistem sama ada naik atau turun. Pelayan terputus, perkhidmatan mengembalikan ralat 500, pautan rangkaian gagal. Insiden adalah dua keadaan dan segera. Pengesanan adalah pantas, biasanya automatik. Pembaikan adalah teknikal: pulihkan perkhidmatan.
Insiden AI tidak berfungsi dengan cara itu. Fungsi Respond Cybersecurity Framework NIST menerangkan tindak balas insiden sebagai mengandungi dan mengurus impak acara yang dikesan, tetapi CSF direka untuk kegagalan teknikal dua keadaan yang boleh dikesan. Insiden AI memerlukan model pengesanan dan tindak balas yang berbeza secara ketara.
Ia bersifat probabilistik. Sistem AI yang berfungsi "baik" sebahagian besar masa mungkin membuat keputusan yang salah untuk subpopulasi input tertentu: segmen pelanggan tertentu, jenis dokumen tertentu, bahasa tertentu. Metrik ketepatan keseluruhan kelihatan boleh diterima. Ekor gagal dengan teruk.
Ia tersembunyi. Model pemarkahan yang berat sebelah, pangkalan pengetahuan yang berhalusinasi, kerentanan suntikan prompt, ini boleh beroperasi selama minggu atau bulan sebelum sesiapa menyedari. Analogi insiden IT adalah pelayan yang secara senyap merosakkan data 3% dari masa dan bukannya terhempas terus.
Ia sering tidak kelihatan sehingga ia berkesan. AI yang menghantar maklumat yang salah kepada pelanggan, membuat keputusan diskriminasi dalam pengambilan, atau membocorkan data ke dalam konteks prompt tidak menghasilkan ralat 500. Ia mungkin menghasilkan aduan pelanggan, pertanyaan pengawal selia, atau panggilan wartawan. Ini adalah salah satu mod kegagalan tadbir urus yang menjejaskan transformasi AI yang dibiayai dengan baik.
Punca akar lebih sukar ditemui. Insiden IT mempunyai punca akar teknikal: salah konfigurasi, pepijat kod, kegagalan perkakasan. Insiden AI boleh berpunca dari tingkah laku model (model sentiasa akan gagal pada jenis input ini), reka bentuk prompt (prompt tidak konsisten dalam kes tepi tertentu), kualiti data (data latihan atau pengambilan semula adalah salah), kegagalan integrasi (hasil yang betul dijana tetapi tindakan yang salah dilaksanakan), atau tingkah laku pengguna (manusia mula menggunakan alat dengan cara yang tidak direka untuknya).
Setiap jenis punca akar memerlukan tindak balas yang berbeza.
"Insiden AI tidak mengumumkan diri mereka dengan ralat 500. Model pemarkahan yang berat sebelah boleh beroperasi selama berbulan-bulan sebelum sesiapa menyedari. AI yang menghantar maklumat yang salah kepada pelanggan tidak terhempas. Ia menjana aduan pelanggan. Proses tindak balas insiden yang berkesan untuk gangguan IT akan terlepas majoriti kegagalan AI sehingga ia menjadi krisis." (Rework)
Taksonomi Insiden AI 4 Jenis
Rangka kerja klasifikasi untuk mengkategorikan insiden AI mengikut jenis punca akar, membolehkan diagnosis yang lebih pantas dan tindak balas yang lebih tepat sasaran. Jenis 1 (Halusinasi): AI menjana kandungan yang tidak tepat secara fakta yang ditindakkan. Jenis 2 (Ralat Execute): AI mengambil tindakan berkesan dengan salah, dengan akibat di dunia nyata. Jenis 3 (Berat Sebelah): AI membuat keputusan diskriminasi secara sistematik yang mempengaruhi subpopulasi; pendedahan kawal selia tertinggi. Jenis 4 (Pendedahan Data): input prompt atau hasil AI mendedahkan maklumat yang seharusnya dilindungi; mungkin mencetuskan kewajipan pemberitahuan 72 jam GDPR Artikel 33. Jenis 5 (Hanyutan Model): prestasi AI telah merosot dari masa ke masa tanpa satu saat kegagalan yang boleh dikesan; jenis insiden yang paling kerap terlepas. Setiap jenis mempunyai isyarat pengesanan yang berbeza, garis masa tindak balas, dan pendekatan penyiasatan punca akar. Menggunakan protokol tindak balas yang salah untuk jenis insiden menghasilkan resolusi yang lebih lambat dan mungkin terlepas isu sistematik.
Taksonomi insiden AI
Sebelum anda boleh bertindak balas kepada insiden AI, anda perlu tahu jenis insiden apa yang anda ada.
Jenis 1: Insiden halusinasi
AI menjana kandungan yang tidak tepat secara fakta yang ditindakkan. Seorang pelanggan menerima maklumat yang salah tentang perlindungan polisi mereka. Agen sokongan menggunakan jawapan yang dijana AI untuk menyelesaikan tiket dengan salah. Dokumen yang ditulis AI mengandungi petikan yang direka.
Isyarat pengesanan: aduan pelanggan, semakan kualiti dalaman, laporan pekerja, ralat sistem hiliran yang disebabkan oleh bertindak berdasarkan maklumat yang salah.
Soalan utama dalam tindak balas: Adakah hasil disemak sebelum digunakan? Adakah ini sekali sahaja atau adakah model secara konsisten berhalusinasi pada jenis soalan ini? Adakah ada perubahan prompt yang akan menyelesaikannya?
Jenis 2: Ralat Execute
AI mengambil tindakan berkesan dengan salah. Ini adalah jenis insiden paling sensitif masa, kerana tindakan Execute mengubah keadaan dunia. Bayaran balik yang salah dikeluarkan. E-mel dihantar kepada senarai penerima yang salah. Rekod CRM dikemas kini dengan data yang salah. Aliran kerja dicetuskan yang tidak sepatutnya.
Isyarat pengesanan: aduan pelanggan, percanggahan penyesuaian kewangan, ralat proses hiliran, laporan pekerja.
Soalan utama dalam tindak balas: Bolehkah tindakan itu diterbalikkan? Jika boleh, siapa yang diberi kuasa untuk membalikkannya dan bagaimana? Siapa yang terjejas? Adakah punca akar dalam model AI, logik pencetus, atau integrasi antara hasil AI dan sistem luaran?
Jenis 3: Insiden berat sebelah
AI membuat keputusan diskriminasi secara sistematik. Model pemarkahan menghala calon demografi tertentu kepada penolakan secara tidak seimbang. AI berkaitan kredit menolak permohonan pada kadar berbeza untuk kelas yang dilindungi. AI pengambilan menapis calon berdasarkan faktor yang berkorelasi dengan ciri yang dilindungi.
Isyarat pengesanan: audit demografi hasil, laporan pekerja, pertanyaan pengawal selia, cabaran undang-undang dari individu yang terjejas.
Soalan utama dalam tindak balas: Berapa lama sistem beroperasi dengan berat sebelah ini? Berapa ramai individu yang terjejas? Apa pemulihan yang terhutang kepada pihak yang terjejas? Adakah model ini masih dalam produksi?
Jenis insiden ini mempunyai pendedahan kawal selia yang paling teruk. Penasihat undang-undang mesti dilibatkan serta-merta.
Jenis 4: Insiden pendedahan data
Input prompt atau hasil AI mendedahkan maklumat yang seharusnya dilindungi. Maklumat Pelanggan A muncul dalam respons AI Pelanggan B. Data peribadi pekerja dimasukkan dalam konteks prompt yang boleh diakses oleh pengguna yang tidak diberi kuasa. Data dalaman yang sulit dihantar kepada sistem AI vendor yang tidak diberi kuasa untuk menerimanya.
Isyarat pengesanan: aduan pelanggan tentang melihat data pengguna lain, audit dalaman, laporan pekerja, amaran pemantauan tentang pelanggaran klasifikasi data.
Soalan utama dalam tindak balas: Data apa yang didedahkan? Kepada siapa? Adakah ia PII, PHI, data kewangan, atau data perniagaan sulit? Adakah ini acara sekali atau kecacatan sistematik?
Nota GDPR Artikel 33: jika pendedahan melibatkan data peribadi penduduk EU, anda mungkin mempunyai kewajipan pemberitahuan 72 jam kepada pihak berkuasa penyeliaan yang relevan. Ini bukan pilihan. Jam bermula apabila anda menyedari insiden, bukan apabila anda menyelesaikan penyiasatan.
Jenis 5: Hanyutan model
Prestasi AI telah merosot dari masa ke masa tanpa sesiapa menyedari. Model pemarkahan yang mempunyai ketepatan 78% pada Suku 1 kini pada 61% ketepatan pada Suku 3. Sistem pengambilan semula yang mengembalikan dokumen yang betul kini mengembalikan yang lapuk. Kualiti penjanaan yang boleh diterima telah merosot seiring perubahan model atau konteks pengambilan semula.
Isyarat pengesanan: metrik pemantauan (jika anda telah membinakannya), metrik hasil perniagaan (kadar penukaran lead merosot, kepuasan pelanggan menurun, kualiti resolusi tiket sokongan merosot), laporan pekerja bahawa AI "tidak sebaik dulu."
Ini adalah jenis insiden yang paling kerap terlepas kerana tiada satu saat kegagalan. Ia terkumpul.
Rangka kerja tindak balas 4-peringkat
Setelah anda mengenal pasti jenis insiden, peringkat menentukan siapa yang bertindak balas, seberapa pantas, dan apa yang berlaku dahulu.
Peringkat 4: Siasat
Kriteria: Ralat hasil AI dalaman, tiada pendedahan luaran, tiada impak pelanggan lagi. Halusinasi yang ditemui semasa semakan kualiti dalaman. Hasil Generate yang salah tetapi tidak ditindakkan. Hanyutan model yang dikesan oleh pemantauan dalaman sebelum ia mempengaruhi hasil.
Tempoh tindak balas: 24 jam untuk penilaian awal.
Siapa yang bertindak balas: Pasukan yang bertanggungjawab ke atas sistem AI. Tiada eskalasi diperlukan melainkan penilaian mendedahkan pendedahan luaran.
Tindakan: Dokumentasikan insiden dalam daftar risiko AI. Tentukan punca akar. Nilai sama ada isu itu sistematik atau terpencil. Laksanakan pembaikan atau penyelesaian sementara. Jadualkan semakan selepas insiden.
Peringkat 3: Bendung
Kriteria: Hasil yang salah berpelanggan yang tidak ditindakkan oleh pelanggan. Respons chatbot yang salah tetapi pelanggan tidak bertindak berdasarkannya. Draf e-mel dengan maklumat yang salah yang ditangkap sebelum dihantar.
Tempoh tindak balas: 4 jam untuk keputusan pembendungan.
Siapa yang bertindak balas: Ketua pasukan ditambah kenalan keselamatan IT. Pemberitahuan pengurusan (tiada eskalasi kepada CIO diperlukan melainkan ia menjadi Peringkat 2 atau lebih tinggi).
Tindakan: Bendung isu (lumpuhkan ciri AI yang terjejas jika ia masih menghasilkan hasil yang salah). Nilai keluasan: adakah pelanggan ini yang terjejas, atau berpotensi yang lain? Dokumentasikan. Tentukan sama ada komunikasi pelanggan secara proaktif diperlukan (biasanya tidak untuk Peringkat 3, melainkan hasil yang salah boleh menyebabkan kemudaratan kepada pelanggan jika mereka kemudian bertindak berdasarkannya).
Peringkat 2: Tindak balas insiden
Kriteria: Ralat Execute berpelanggan, insiden pendedahan data yang telah dibendung, halusinasi yang ditindakkan oleh pelanggan.
Tempoh tindak balas: 1 jam untuk tindak balas awal, pengurusan berterusan sehingga diselesaikan.
Siapa yang bertindak balas: CIO dan ketua keselamatan diberitahu dalam masa satu jam. Penasihat undang-undang dalam keadaan bersedia. Pasukan komunikasi dilibatkan untuk menggubal pemberitahuan pelanggan.
Tindakan: Nilai impak (berapa ramai pelanggan, data apa, tindakan apa yang diambil). Bendung (lumpuhkan aliran kerja yang terjejas, terbalikkan tindakan Execute di mana mungkin). Pelan komunikasi pelanggan: adakah pelanggan yang terjejas perlu diberitahu? Apa yang perlu mereka ketahui? Penilaian pemberitahuan kawal selia: adakah ini merupakan pelanggaran yang boleh diberitahu di bawah GDPR Artikel 33? Dokumentasikan segalanya secara masa nyata.
Peringkat 1: Krisis
Kriteria: Pendedahan kawal selia disahkan atau berkemungkinan, impak pelanggan berskala besar, insiden berat sebelah dengan individu yang terjejas, pendedahan data melibatkan data peribadi sensitif pada skala.
Tempoh tindak balas: Segera. CEO dan Penasihat Undang-Undang Umum mesti dalam gelung dalam satu jam pertama.
Siapa yang bertindak balas: Kepimpinan eksekutif, penasihat undang-undang, komunikasi luaran, hal ehwal kawal selia jika berkenaan.
Tindakan: Keputusan eksekutif sama ada menangguhkan sistem AI sepenuhnya menunggu penyiasatan. Penasihat undang-undang luaran dilibatkan. Komunikasi pelanggan dan pengawal selia digubal dan disemak. Semakan pasca krisis dijadualkan. Jika data peribadi EU terlibat dan pelanggaran boleh diberitahu, jam 72 jam di bawah GDPR Artikel 33 sedang berjalan.
GDPR Artikel 33 dan keperluan pemberitahuan
GDPR Artikel 33 memerlukan pemberitahuan kepada pihak berkuasa penyeliaan yang relevan dalam masa 72 jam dari saat menyedari pelanggaran data peribadi, melainkan pelanggaran itu "tidak mungkin mengakibatkan risiko kepada hak dan kebebasan orang semula jadi."
Insiden AI mungkin merupakan pelanggaran data peribadi jika:
- Sistem AI memproses data peribadi dengan cara yang mengakibatkan pendedahan tanpa kebenaran
- Hasil AI yang mengandungi data peribadi dihantar kepada penerima yang tidak diberi kuasa
- Sistem AI membuat keputusan automatik menggunakan data peribadi dengan cara yang tidak didedahkan kepada subjek data
- Suntikan prompt atau eksploitasi lain membawa kepada penapisan data
Jam 72 jam bermula apabila anda menyedari pelanggaran, bukan apabila penyiasatan selesai. Anda boleh menyerahkan pemberitahuan awal yang berkata "kami sedar tentang insiden, penyiasatan sedang berjalan" dan melengkapkannya kemudian. Menunggu sehingga penyiasatan selesai sebelum memberitahu adalah tidak mematuhi.
Bagi organisasi berasaskan AS yang beroperasi dalam industri terkawal, keperluan yang serupa wujud: Peraturan Pemberitahuan Pelanggaran HIPAA untuk pelanggaran PHI, peraturan pendedahan keselamatan siber SEC untuk insiden keselamatan siber material, dan undang-undang pemberitahuan pelanggaran peringkat negeri.
Semakan selepas insiden: analisis punca akar AI
Semakan selepas insiden untuk insiden AI mengikut struktur yang berbeza dari post-mortem IT standard.
Post-mortem IT bertanya: kegagalan teknikal apa yang menyebabkan gangguan? Betulkan kegagalan teknikal, pulihkan perkhidmatan.
Semakan selepas insiden AI bertanya empat soalan:
Adakah ini kegagalan model? Adakah AI menghasilkan hasil yang salah kerana model asas salah, berhalusinasi, atau berprestasi buruk pada jenis input ini? Jika ya: perubahan prompt apa, penambahbaikan pengambilan semula, atau kemas kini model yang akan mencegah pengulangan? Haruskah model ini terus digunakan untuk kes penggunaan ini?
Adakah ini kegagalan prompt atau reka bentuk? Adakah AI menghasilkan hasil yang salah kerana prompt itu samar-samar, tetingkap konteks tidak mencukupi, atau aliran kerja tidak direka untuk mengendalikan input ini? Jika ya: ini sering merupakan punca akar yang paling mudah dibaiki. Reka semula templat prompt, tambah pengesahan input, atau tambah pengawal.
Adakah ini kegagalan data? Adakah AI menghasilkan hasil yang salah kerana data pengambilan semula lapuk, data latihan berat sebelah, atau data input cacat? Jika ya: tadbir urus data adalah pembaikannya, bukan model.
Adakah ini kegagalan integrasi? Adakah AI menghasilkan hasil yang betul tetapi integrasi antara sistem AI dan sistem Execute hiliran gagal? Jika ya: punca akar tadbir urus AI kurang penting daripada pembaikan kejuruteraan integrasi. Tetapi juga: adakah ada langkah semakan manusia yang seharusnya menangkap ini sebelum Execute?
Dokumentasikan punca akar dalam daftar risiko AI. Kemas kini dokumen tadbir urus AI yang relevan. Jika insiden mendedahkan jurang dalam reka bentuk manusia-dalam-gelung anda, baiki jurang itu.
Membina budaya pelaporan
Jurang paling berbahaya dalam mana-mana program tindak balas insiden AI bukan playbook. Ia adalah pekerja yang melihat masalah dan tidak melaporkannya.
Seorang pekerja yang menyedari bahawa chatbot AI memberi maklumat bayaran balik yang salah Selasa lalu. Seorang jurutera yang melihat corak anomali dalam log hasil AI tetapi tidak pasti sama ada ia penting. Pengurus kejayaan pelanggan yang mendengar aduan tentang cadangan yang dijana AI tetapi menganggapnya sebagai sekali sahaja.
Setiap satu ini adalah isyarat awal. Kebanyakan insiden AI yang menjadi krisis bermula sebagai isyarat yang dilihat dan tidak ditindakkan.
Membina budaya pelaporan bermaksud tiga perkara:
Jadikan pelaporan mudah. Satu saluran dalaman, satu borang, satu alamat e-mel. Pekerja tidak sepatutnya mengemudi carta organisasi untuk melaporkan masalah AI yang berpotensi.
Jadikan pelaporan selamat. Pekerja yang melaporkan masalah tidak boleh dipersalahkan atas insiden atau kerana membangkitkan penggera palsu. Respons kepada laporan, walaupun ternyata bukan insiden, harus menjadi "terima kasih kerana memberi amaran tentang ini." Jika pelapor berasa dipersalahkan, mereka akan berhenti melaporkan.
Jadikan pelaporan kelihatan. Apabila laporan membawa kepada insiden sebenar yang ditangkap lebih awal, beritahu pasukan. Bukan "kami mengalami insiden besar" tetapi "kerana seseorang menanda anomali minggu lalu, kami menangkap masalah sebelum ia mempengaruhi pelanggan." Bukti sosial bahawa pelaporan penting membina kebiasaan lebih cepat daripada mana-mana program latihan.
Dokumen tadbir urus, jejak audit, dan peringkat tindak balas semuanya wujud untuk mengurus insiden selepas berlaku. Budaya pelaporan adalah yang menentukan sama ada anda mengetahui masalah lebih awal atau lewat.
Apa yang tidak digantikan playbook ini
Playbook ini mengawal tindak balas insiden khusus AI. Ia tidak menggantikan proses tindak balas insiden IT sedia ada anda, proses tindak balas pelanggaran data anda di bawah GDPR atau CCPA (California Consumer Privacy Act), atau proses insiden HR untuk aduan berkaitan diskriminasi. Proses-proses tersebut masih terpakai. Untuk insiden yang melibatkan kegagalan AI dan pelanggaran data, kedua-dua playbook berjalan secara selari.
Sambungkan playbook ini kepada rangka kerja jejak audit anda, yang menyediakan bukti yang anda perlukan semasa penyiasatan insiden. Sambungkannya kepada dasar penggunaan AI anda, yang mentakrifkan skop tindakan AI yang diberi kuasa. Dan sambungkannya kepada daftar risiko AI anda, di mana corak risiko yang diketahui dari insiden lalu didokumentasikan supaya insiden masa hadapan dikesan lebih pantas.
Analisis Rework: Berdasarkan corak insiden AI perusahaan, sebab paling biasa insiden AI kecil meningkat kepada krisis bukan insiden itu sendiri tetapi kelewatan pengesanan. Insiden berat sebelah yang mempengaruhi 15% hasil model pemarkahan mungkin berjalan selama 8-12 minggu sebelum muncul dalam metrik perniagaan. Pendedahan data dalam konteks AI yang dikongsi mungkin tidak muncul sehingga pelanggan melaporkan melihat data pengguna lain. Bahagian budaya pelaporan dalam playbook ini wujud kerana mekanisme pengesanan yang paling pantas adalah manusia yang menyedari sesuatu dan melaporkannya. Setiap minggu kelewatan pengesanan meningkatkan pendedahan kawal selia, bilangan pelanggan yang terjejas, dan kerumitan pemulihan.
Matlamatnya bukan untuk mempunyai playbook yang tidak perlu anda gunakan. Ia untuk bersedia apabila anda memerlukannya.
Dan syarikat yang menjalankan tindak balas insiden yang paling bersih adalah yang membina budaya pelaporan jauh sebelum insiden pertama. Jadi soalan sebenar adalah: adakah pasukan anda tahu ke mana pergi apabila mereka melihat sesuatu yang tidak kena?
Lihat juga:
- Pintu Kelulusan AI dan Semakan Vendor: pintu pra-penggunaan yang mengurangkan seberapa kerap anda akan memerlukan playbook ini
- Klasifikasi Data untuk Peraturan Akses AI: rangka kerja peringkat data yang menentukan sama ada insiden Jenis 4 memerlukan pemberitahuan pelanggaran
- Peringkat 3 ke 4: Dari Diskala ke Diintegrasikan: mengapa tindak balas insiden formal menjadi tidak pilihan di Peringkat 4
- Agenda AI CEO 18 Bulan: di mana infrastruktur tindak balas insiden sesuai dalam Fasa 1 peta jalan transformasi
Co-Founder & CMO, Rework
On this page
- Bagaimana insiden AI berbeza dari insiden IT
- Taksonomi Insiden AI 4 Jenis
- Taksonomi insiden AI
- Jenis 1: Insiden halusinasi
- Jenis 2: Ralat Execute
- Jenis 3: Insiden berat sebelah
- Jenis 4: Insiden pendedahan data
- Jenis 5: Hanyutan model
- Rangka kerja tindak balas 4-peringkat
- Peringkat 4: Siasat
- Peringkat 3: Bendung
- Peringkat 2: Tindak balas insiden
- Peringkat 1: Krisis
- GDPR Artikel 33 dan keperluan pemberitahuan
- Semakan selepas insiden: analisis punca akar AI
- Membina budaya pelaporan
- Apa yang tidak digantikan playbook ini