Tyrimo metu atliekami veiksmai registruojami, o įrašų vientisumas ir kilmė išsaugomi

1. Reikalaukite, kad kiekvienas incidentų valdytojas ir kiti asmenys atliekantys reagavimo į incidentus užduotis (pvz., sistemos administratoriai, kibernetinio saugumo inžinieriai), užregistruotų savo veiksmus ir užtikrintų, kad įrašai būtų nepakeičiami;
2. Reikalaukite, kad incidento vadovas išsamiai dokumentuotų incidentą ir būtų atsakingas už dokumentacijos bei visų pateikiamos informacijos šaltinių vientisumo išsaugojimą.