Di sebagian besar organisasi, pengembangan rencana respons insiden dipimpin oleh CISO atau beberapa manajer keamanan siber lainnya di bawah bimbingan CIO. CPMT (  (Contingency Planning Management Team) biasanya akan menunjuk individu ini untuk memimpin tim perencanaan IR, dan kemudian menambahkan anggota lain ke tim tersebut .

Menggunakan proses CP  ( Contigency Planning) yang dibahas sebelumnya sebagai model, IRPT  ( Indicent Report Planning Team) dapat mulai membuat rencana IR ( Incident Response) .

Menurut publikasi khusus NIST 861 revisi dua, rencana IR harus memuat unsur-unsur berikut.

• Misi IRPT dan C-CERT,
• Strategi dan tujuan untuk program dan tim IR.
• Persetujuan manajemen senior dan penekanan pada kebutuhan akan respon insiden.
• Deskripsi pendekatan organisasi terhadap respons insiden,
• Strategi komunikasi antara C-CERT dan seluruh organisasi dan dengan organisasi lain.
• Metrik untuk mengukur kemampuan respons insiden dan efektivitasnya.
• Peta jalan untuk mematangkan kapabilitas respons insiden
• Deskripsi tentang bagaimana program cocok dengan organisasi secara keseluruhan.

Selama proses perencanaan, prosedur IR juga dikenal sebagai prosedur operasi standar atau SOP juga dikembangkan. IRPT akan melakukan brainstorming semua skenario serangan yang mungkin terjadi. Mereka kemudian akan mengembangkan tiga set prosedur untuk setiap skenario serangan yaitu :

1. Serangkaian tindakan yang harus diambil selama insiden,
2. Serangkaian tindakan yang harus diambil setelah insiden itu terjadi
3. Serangkaian tindakan yang harus diambil sebelum insiden terjadi.

Untuk set pertama selama insiden, rencana harus menentukan apa yang harus dilakukan C-CERT setelah insiden terdeteksi untuk menahan insiden dan mendapatkan kembali kendali atas aset organisasi. Rencana tersebut juga akan menentukan siapa yang melakukan setiap tugas dan dalam urutan apa. Karena respons insiden melibatkan tindakan teknis dan non-teknis, tugas yang harus dilakukan dikelompokkan berdasarkan peran serta posisi individu.

Untuk set kedua, rencana tersebut harus menentukan apa yang harus dilakukan organisasi untuk memulihkan dari insiden setelah insiden dapat diatasi, termasuk menangani potensi kerusakan atau kehilangan aset. Sekali lagi, area fungsional yang berbeda memerlukan tugas yang berbeda.

Akhirnya, IRPT mengembangkan serangkaian tugas yang digunakan untuk mempersiapkan pencegahan dan pendeteksian suatu insiden. Ini termasuk tugas khusus apa pun yang bukan bagian dari upaya keamanan siber normal, dan termasuk tugas apa pun yang dapat mengurangi kerusakan akibat serangan yang berhasil.

Bagian ini dapat mencakup perincian persyaratan pencadangan data, jadwal pelatihan, perjanjian layanan, dan sebagainya sesuai kebutuhan. Setelah tiga set dokumen ini dikembangkan untuk semua skenario realistis, rencana IR disusun. Tujuan utama rencana IR adalah untuk memberikan panduan bagi C-CERT selama insiden. Ini juga berfungsi sebagai referensi bagi semua karyawan agar mereka tahu apa yang harus mereka lakukan selama, setelah, dan sebelum insiden.

C-CERT adalah kelompok yang terpisah dari IRPT, meskipun beberapa individu mungkin terlibat dalam kedua kelompok. Dan itu terdiri dari profesional TI dan keamanan siber teknis dan manajerial yang siap untuk mendiagnosis dan menanggapi suatu insiden. Anggota C-CERT biasanya bekerja di bidang TI dan keamanan siber dan memiliki tanggung jawab khusus selama insiden. Untuk sebagian besar, mereka bekerja seperti pemadam kebakaran sukarela. Mereka memiliki tugas rutin selama operasi kerja normal, tetapi tugas khusus jika ada insiden yang terdeteksi.

Di beberapa organisasi, terutama organisasi yang lebih kecil, C-CERT mungkin tidak terlalu formal dan dapat terdiri dari semua orang yang saat ini bekerja di departemen TI atau keamanan. Di organisasi yang lebih besar, bahkan mungkin ada karyawan penuh waktu yang didedikasikan khusus untuk operasi C-CERT. Pada tingkat tertentu, setiap anggota organisasi adalah anggota C-CERT karena setiap tindakan yang mereka ambil dapat menyebabkan atau mencegah suatu insiden. Biasanya, organisasi memiliki contact person yang berfungsi sebagai penghubung antara organisasi dan C-CERT, yang memungkinkan siapa saja untuk melaporkan aktivitas mencurigakan yang dapat membantu suatu insiden.