Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

• Tapahtuma, jonka varalle suunnitelma on tehty
• Tavoiteaika palautumiselle
• Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut toipumisen askeleet

Analysoi organisaatiosi varautumis- ja häiriötilanteiden torjuntasuunnitelmat. Luo selkeä, dokumentoitu määritelmä siitä, mitä tarkoittaa "varautumissuunnitelman aktivointi" ja mitkä erityiset vaaratilanteet "arvioidaan mahdollisesti johtavan varautumistilanteeseen".

Organisaatio kehittää erilaisia tapahtumaskenaarioita, suunnittelee säännöllisiä harjoituksia, testaa viestintäkanavia, arvioi päätöksentekoa, simuloi työnkulun toteuttamista, kerää palautetta sekä päivittää reagointiprosesseja.

Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:

• Tietojärjestelmän toiminnan tarkoitus ja sen katkeamista varten tarvittavat varautumistoimet
• Palautussuunnitelmat, tavoitteet ja palautuskohteiden priorisointijärjestys
• Vastaussuunnitelmien toteuttamisen roolitus ja rooleihin määrättyjen henkilöiden yhteystiedot
• Normaalin toiminnan jatkuminen tietojärjestelmien tilasta riippumatta.
• Vastaussuunnitelmien jakelu, hyväksyminen ja tarkastaminen

Lisäksi suunnitelman tulisi ainakin:

• Luoda etenemissuunnitelma häiriöiden hallintakyvyn kehittämistä varten
• Kuvata häiriönhallintakyvyn rakenne ja organisaatio
• Antaa mittarit häiriönhallintakyvyn mittaamiseksi

Organisaation tulisi säännöllisesti, vähintään kerran vuodessa, harjoitella siihen kohdistuvia mahdollisia häiriö- tai hyökkäystilanteita.

Harjoitus voi kohdistua joko häiriön havaitsemisen, reagoinnin tai johtamisen kehittämiseen tai kaikkiin näistä.

Harjoitusten toteuttamisesta ja havainnoista tulee ylläpitää dokumentaatiota.

Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.

Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

• häiriöiden hallinta on vastuutettu
• häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

• henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
• pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.