Organisaation on laadittava dokumentoidut hätäkäyttökäytännöt, joiden avulla valtuutettu henkilöstö voi käyttää suojattuja sähköisiä terveystietoja hätätilanteissa, kuten luonnonkatastrofien, järjestelmäkatkosten tai laajalle levinneiden verkkohäiriöiden aikana, ja annettava yksilölliset käyttäjätunnukset jokaiselle henkilölle, joka käyttää sähköisiä terveystietojärjestelmiä.

Organisaation olisi luotava ja ylläpidettävä viestintäkanavia, jotka toimivat ensisijaisesta tieto- ja viestintätekniikan infrastruktuurista riippumatta ja joita voidaan käyttää suurten häiriöiden aikana. Tässä vaihtoehtoista viestintää koskevassa suunnitelmassa olisi määriteltävä käytettävät menetelmät, kuten puhelinpuu, satelliittipuhelimet tai nimetty ulkoinen viestipalvelu. Suunnitelmassa olisi myös määriteltävä, miten nämä kanavat aktivoidaan ja miten yhteystiedot pidetään ajan tasalla ja miten ne ovat käytettävissä offline-tilassa.

Organisaation olisi laadittava, tulostettava ja päivitettävä säännöllisesti fyysisiä kopioita henkilöstön tärkeimmistä yhteystietoluetteloista ja puhelinluetteloista ja varmistettava, että ne ovat helposti saatavilla useilla osastoilla. Organisaation olisi laadittava toistuva aikataulu laitteiden fyysistä tarkastusta, paristojen tarkistusta sekä ECP-asiakirjan ja yhteystietoluetteloiden päivittämistä varten henkilöstön tai menettelytapojen muutosten huomioon ottamiseksi.

Organisaatiolla tulee olla selkeät viestintäkanavat tapahtumien raportointia varten:

• Perustetaan ja ylläpidetään asianmukaisia viestintäkanavia turvallisuustapahtumista raportoiville henkilöille ja varmistetaan, että:
• Tapahtumista ilmoittamista varten on määritetty yhteinen yhteyspiste, josta tiedotus tapahtuu kaikille asianomaisille osapuolille.
• Käytettävissä on erilaisia raportointikanavia tapahtumien vakavuuden mukaan, mukaan lukien reaaliaikaiset viestintävaihtoehdot merkittävissä hätätilanteissa ja asynkroniset menetelmät (esim. liput, sähköposti) vähemmän kiireellisissä asioissa.

Organisaation olisi myös harkittava mahdollisuutta ulkoiseen raportointiin. Tämä voi tarkoittaa, että organisaatiolla on järjestelmä, jolla voidaan käsitellä ulkoisten osapuolten raportteja turvallisuustapahtumista, mukaan lukien:

• Ulkoisesti saatavilla oleva ja hyvin kommunikoitu menetelmä tietoturvatapahtumien raportointia varten.
• Määritellyt menettelyt ulkoisista lähteistä tuleviin tietoturvatapahtumaraportteihin vastaamista ja niiden käsittelyä varten.

Organisaation olisi myös varmistettava, että häiriötilanteiden raportointimekanismit ja -tiedot ovat helposti kaikkien asianomaisten raportoijien saatavilla, ja otettava käyttöön palautemenettely, jolla turvatapahtumista raportoiville annetaan nopeita vastauksia ja päivityksiä ja jolla varmistetaan, että heille tiedotetaan tuloksista ja tarvittavista jatkotoimista.

Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.

Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

• Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
• Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
• Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
• Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen