Есть ли у вас на предприятии инструкция на случай внешних и внутренних атак на сеть?

Это не инструкция - или как минимум не одна инструкция.
По хорошему это порядок обработки инцидентов ИБ в общем + инструкция на каждую систему.
Ну не получится в 1 документе конкретно описать порядок действий при атаке на DC и, скажем, на WEB.
посмотрите ЦБ-шный порядок по инцидентам, недурно написано.

Слишком общий вопрос.
Такая инструкция является частью утвержденной политики безопасности организации и определяется множеством факторов: спецификой сферы деятельности предприятия, списком угроз, штатом, используемыми техническими средствами и т.д.

Для прикрытия атаки вы можете в политику информационной безопасности (если у вас ее нет, то вам следовало бы ее сочинить) добавить главы и разделы с примерным содержанием:

I Управление инцидентами информационной безопасности
I.i Оповещение об инцидентах информационной безопасности
В целях предотвращения нарушений информационной безопасности, в ЗАО "Звездный путь" принимаются меры по оповещению об инцидентах информационной безопасности.
Работники компании обязаны сообщать в Службу атаки о любых замеченных или предполагаемых нарушениях безопасности, а также выявленных уязвимостях в соответствии с установленным в ЗАО "Звездный путь" порядком.

I.ii Реагирование на инциденты информационной безопасности
В целях реагирования на инциденты информационной безопасности осуществляется их регистрация и анализ, а также принятие необходимых мер по исключению их повторения.
В Службе атаки назначаются работники, ответственные за реагирование на инциденты информационной безопасности, имеющие соответствующую подготовку.
Реагирование на инциденты информационной безопасности осуществляется в соответствии с принятым в ЗАО "Звездный путь" порядком.

А потом если есть желание ковыряться шлепайте более подробные инструкции по вашим информационным системам.

Выдернуть шнур - выдавить стекло!