Quello che stai cercando è il termine "Sicurezza operativa" o "OpSec". Vuoi mantenere segreti i dettagli di ciò che farai , in qualsiasi situazione. Questi dettagli danno agli osservatori esterni la possibilità di creare approcci e sapere come (e quando) risponderai. I documenti che hai delineato non devono essere classificati come dati pubblici.
Le uniche persone che dovrebbero avere accesso a questi dati sono quelle con un legittimo "bisogno di sapere". Questa base costituisce tutte le autorizzazioni per accedere a qualsiasi dato. Il pubblico non ha bisogno di sapere. Molti nella tua organizzazione non hanno bisogno di sapere.
Permetti l'accesso a coloro che hanno bisogno dei dati per poter svolgere il proprio lavoro.
Se stai cercando consigli ufficiali sui piani di risposta, ISO 27035: 2011 5.4. 4 dice:
It may also be important to keep some details of the information
security incident management scheme closely held to prevent an insider
from tampering with the investigation process. For example, if a bank
employee who is embezzling funds is aware of some details of the
scheme, he or she may be able to better hide their activities from
investigators or otherwise hamper the detection, investigation of and
recovery from an information security incident.