Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

• Tapahtuma, jonka varalle suunnitelma on tehty
• Tavoiteaika palautumiselle
• Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut toipumisen askeleet

Organisaation tietoturvapolitiikassa on määriteltävä järjestelmän laajuus. Tietoturvapolitiikassa on määriteltävä erityisesti seuraavat asiat:

• keitä tietoturvapolitiikka koskee
• mitä omaisuuseriä se kattaa
• mitkä sijainnit kuuluvat politiikan piiriin
• mitä toimintoja se kattaa
• yhdennetyn hallinto- ja valvontajärjestelmän tietoverkkoturvallisuusnäkökohtien vastuut ja roolit.

Politiikkaan on sisällytettävä seuraavat aiheet:

• politiikan tavoitteet
• politiikan soveltamisala
• katettava ajanjakso
• suunnitelmien aktivointi- ja deaktivointikriteerit

Politiikkaan on sisällytettävä myös:

• politiikan täytäntöönpanon hallinto ja organisaatio, mukaan lukien roolit ja vastuut
• eskalaatiomenettelyt, joilla varmistetaan riittävien resurssien saatavuus

Politiikassa on otettava huomioon, miten tieto- ja viestintäteknologian jatkuvuussuunnitelmat sopivat yhteen muiden liiketoiminnan jatkuvuussuunnitelmien kanssa.

Politiikkaan on sisällytettävä kriittisten toimintojen enimmäistoipumisaika, joka ei saa ylittää kahta tuntia. Politiikassa on otettava huomioon ulkoiset yhteydet ja riippuvuudet rahoitusalan infrastruktuuriin.

Politiikassa on vaadittava järjestelyjä, jotka koskevat

• kriittisten toimintojen jatkuvuuden varmistamista
• toissijaisen käsittelypaikan ylläpitämistä, jolla voidaan varmistaa jatkuvuus
• toisen toimipaikan ylläpitämistä tai välitöntä pääsyä sinne
• tarpeen arviointia lisäkäsittelypaikoille

Tieto- ja viestintäteknologian toiminnan jatkuvuutta koskevassa politiikassa on otettava huomioon riippuvuudet käyttäjistä, kriittisistä palveluntarjoajista ja muista markkinainfrastruktuureista sekä varmistettava, että kriittiset tai tärkeät toiminnot voidaan palauttaa kahden tunnin kuluessa. Kauppapaikkojen osalta politiikalla on myös varmistettava, että kaupankäyntiä voidaan jatkaa kahden tunnin kuluessa tai lähes kahden tunnin kuluessa häiriöstä ja että tietotekniikkapalveluista aiheutuu mahdollisimman vähän tai ei lainkaan tietojen menetystä.

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

• vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
• erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
• jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.