这是您需要处理的事件，我猜您的文档中没有详细说明标准响应。

意识到您的系统出现故障。 它没有按照预期的方式运行。

1. 隔离您的系统 [意味着您的网络和物理设施，如果可能的话] 以防止数据离开您的系统。注意尽可能少地改变单个资产。您希望资产的状态保持不变，直到您可以对其进行评估。
2. 确定数据泄漏的来源。
3. 隔离泄漏源以防止系统进一步受到污染。再次，尝试尽可能地保留当前状态。这将帮助您识别受源污染的资产。
4. 识别可能已被源污染的所有资产。
5. 隔离可能受污染的资产。我知道它会变得重复，但要尽可能地保留每个资产的状态。这些资产将帮助您评估污染程度。
6. 在污染级别处理所有可能被污染的资产。在这种情况下，TS。
7. 确认剩余资产没有受到污染。
8. 呼吸，吃点东西或喝点东西，休息一下，因为你一天/一周/一个月的剩余时间会很痛苦。
9. 讨论并计划对受污染资产的修复。在这里做好计划将使您了解问题的范围、受影响的人以及您预计需要多长时间。
10. 执行整治计划并定期报告进度。
11. 疼痛
12. 假期

有没有人不得不处理未经授权的笔记本电脑意外获取最高机密级别的数据？

我还没有。我一直参与敏感数据的遏制和补救。

你是如何隔离系统的？

我没有参与初级污染系统，只涉及二级系统。

对于疑似污染的系统：

• 在门上张贴禁区告示牌。
• 锁上了门。
• 删除了网络通信。
• 关闭系统以尽可能多地保留当前状态。
• 分析系统以检查是否存在有问题的数据。
• 如果检测到，将系统移至安全区域进行消毒。

您是否需要上交整个笔记本电脑，或者您是否能够销毁/格式化硬盘？

所涉及的机构将决定要采取的行动，并且政策和做法可能因机构而异。

我没有亲身经历，但鉴于 TS 被描述为“如果公开提供此类材料将对国家安全造成“异常严重的损害”。我希望以前称为笔记本电脑的项目的每个物理组件都将被压碎、粉碎、熔化、溶解、挤压、切碎，并用作炮兵射程中的目标。

与笔记本电脑、笔记本电脑上的其他软件和数据以及任何其他相邻的有价值物品的价值相比，信息发布的结果清楚地表明，阻止数据的发布值得付出全部破坏的代价的笔记本电脑。

我曾经在空军基地做过一段时间的 IT 工作，实际上我们发生过几起类似的事件。

首先，确保将事件通知有关当局。他们将能够根据他们当前的安全策略进一步指导您。

1. 您需要隔离对笔记本电脑的访问。完全关闭它，启动到 BIOS 并禁用网络设备。如果有任何无线开关，请确保将其设置为关闭。

2. 确保您的财产识别分类材料以及它可能驻留在您的系统上的范围。并采取适当的步骤将其删除。

3. 然后对硬盘进行碎片整理并找到一个实用程序将硬盘上的所有现有文件推送到驱动器的前面。然后，您可以安全地运行一个实用程序来安全地擦除剩余的磁盘空间。

这是用于清理系统的常用技术，但在未首先报告事件并验证您有权执行这些操作之前，请勿尝试此操作。不同类型的事件需要不同的响应，必须正确识别问题以便采取正确的措施。上述步骤并不是针对所有事件的解决方案。它们只是一个很好的通用起点。

如果信息具有那么高的级别，那么在完成隔离和取证部分之后，它永远不会让组织发挥作用并且是一体的。如果需要，您可以安全地擦除和重复使用它，以便在相同的高级分类下使用，但同样 - 它保留在组织内。当笔记本电脑准备好退役时，它会被安全地擦除和物理销毁。

如果您的组织真的在处理绝密信息，那么信息是最有价值的，也是最重要的。在这种情况下，笔记本电脑的成本不会换成信息成本。

任何司法管辖区的两个核心问题应该是：

• 通知相关机构
• 保护资产（在这种情况下是数据 -而不是笔记本电脑）

指定机构将准确告诉您如何使用该设备，因此您不需要从那时起确定您需要做什么，但根据您的环境，您需要在收到之前决定采取的行动方案指导。

如果您是一个通常处理 TS 信息的组织，您应该有一个程序文件 - 遵循它！