1. 给设备做保护措施，避免任何未经授权的人访问它；

2. 如果设备处于关闭状态，保持关机；

3. 如果设备是开机的，保持开机；

4. 如果设备是开机状态的，拔下已连接的网线并关闭WiFi/蓝牙连接；

5. 如果上一步无法做到，就拔掉电源或移除电池，如果是服务器，请关机；

6. 调查进行时如无必要不能告诉任何人；

7. 记笔记，如所涉及的人、指控、证据、日期与时间等等；

8. 收集任何可以调取的证据，如U盘、光盘、文件、笔记本、照相机等等；

9. 如果可能的话，不要告知嫌疑人他们正在被调查的；

10. 向电子数据取证公司咨询进行进一步分析的建议。

1. 不要好奇想“看一下”而启动设备；

2. 除非熟悉计算机取证，否则不要让你们的IT部门去取证；

3. 除非熟悉相关法律法规及标准，否则不要让你们的IT部门去取证；

4. 不要拖延，越早做出响应，保存证据的几率就越大；

5. 不要引起怀疑，如无必要，不要告诉任何人正在进行调查；

6. 在此过程中不要忽视你们的HR部门，他们可以提供法律方面的建议与支持；

7. 不要试图猜测哪种取证行为更有效，如有疑问，请联系一家电子数据取证公司；

8. 如果你认为已经发生犯罪，请立刻与警方联系，；

9. 不要去尝试销毁任何数据，这些操作通常都可以被追踪，并会负有严重的法律责任；

10. 不要启动任何设备或在设备上运行任何程序或者做任何可能更改数据的事。

1. 确保每一个用户都有单独的用户配置文件。不要使用常见的账户，如admin；

2. 每一个用户配置文件都应该由密码保护并且不能共享；

3. 所有的网络设备都应开启尽可能多的日志/审计；

4. 事件日志应当备份到安全位置；

5. 了解你的备份程序和功能，验证备份的数据是否完善且可恢复；

6. 确保连接到你的计算机/互联网的所有用户都接受了使用条款；

7. 保留至少一个可信电子数据取证公司的电话；

8. 确保员工熟悉正确的流程，从上文的10件必须做和不能做开始；

9. 确保你的网络上所有的设备时间和日期都正确或相同；

10. 考虑安装入侵检测系统。

来源：网络