Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja katselmoida tietoturvallisuuden jatkuvuuteen liittyviä suunnitelmia, jotta voidaan varmistaa, että ne ovat päteviä ja vaikuttavia epäsuotuisissa tilanteissa.
Jatkuvuussuunnitelmien testaukseen osallistetaan tarvittaessa kullekin suunnitelmalle kriittiset sidosryhmät.
Lisäksi toiminnan merkittävissä muutostilanteissa tulisi uudelleenarvioida jatkuvuussuunnitelmien sekä niihin liittyvien hallintamekanismien riittävyyttä.
Organisaation tulisi säännöllisesti, vähintään kerran vuodessa, harjoitella siihen kohdistuvia mahdollisia häiriö- tai hyökkäystilanteita.
Harjoitus voi kohdistua joko häiriön havaitsemisen, reagoinnin tai johtamisen kehittämiseen tai kaikkiin näistä.
Harjoitusten toteuttamisesta ja havainnoista tulee ylläpitää dokumentaatiota.