这个阶段的主要目的是将系统复原至正常运作状态。很多时候，「杜绝」及「复原」阶段都是不能分割，因为受感染的系统的功能及其资料已在「杜绝」阶段中被恢复。除了复原受感染系统，移除所有暂时性的遏制措施，例如被暂时中断的网络接连，是复原程序中另一个主要部分。

在移除遏制措施前，其中的一项重要工作是进行生产前保安评估，以确已没有系统受到感染，并确定感染的根源已被删除。

在恢复系统操作前，应事先通知所有相关人士。在受控制的情况下，资讯科技人员应该按照需求的缓急次序逐步恢复功能／服务，例如可优先恢复最重要的服务或以大多数人为对象的服务。复原中止服务之后，其中的一项重要工作是检验复原操作是否成功，系统是否已恢复正常操作。另外还可以实施额外的监视措施，以观察相关网络区段有否任何可疑的活动。

<回上一页