A a segunda categoria da seção possui 3 controles: Responsabilidades e procedimentos, Aprendendo com os incidentes de segurança da informação e Coleta de evidências.
B possui 10 categorias que têm controles referentes à Notificação de fragilidades de segurança da informação e à Notificação de eventos de segurança da informação.
C essa seção da Norma orienta a direção para que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados e gerenciados de forma consistente e efetiva, permitindo a tomada de ação corretiva em tempo hábil.
D são fornecidas diretrizes para notificação de eventos e fragilidades de segurança da informação, definição de responsabilidades e procedimentos de gestão desses eventos e fragilidades.
E fornece diretrizes para a coleta de evidências e estabelecimento de mecanismos para análise dos incidentes recorrentes ou de alto impacto com vistas à sua quantificação e monitoramento.