Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

• Tapahtuma, jonka varalle suunnitelma on tehty
• Tavoiteaika palautumiselle
• Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut toipumisen askeleet

Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.

Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.

Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

• vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
• erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
• jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle

Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).

Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.

Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.

Organisaatio kehittää säännöllisesti jatkuvuussuunnitelmiaan analysoimalla suunnitelmien testaamista, harjoittelua ja niiden toteutunutta käyttöä tositilanteissa.