Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
The organisation should regularly, at least annually, test and review its information security continuity plans to ensure that they are valid and effective in adverse situations.
Testing of continuity plans shall involve, as appropriate, stakeholders critical to each plan. The organisation should identify and document the necessary contacts with suppliers and partners
In addition, the adequacy of continuity plans and associated management mechanisms should be reassessed in the event of significant changes in operations.
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.
Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.
Suunnittelussa on huomioitava etenkin:
Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:
Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.
Omavaltontasuunnitelmassa on kuvattava, kuinka varmistetaan ohjeiden saatavuus poikkeustilanteesta huolimatta silloin, kun niitä tarvitaan.