Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
The organisation should regularly, at least annually, test and review its information security continuity plans to ensure that they are valid and effective in adverse situations.
Testing of continuity plans shall involve, as appropriate, stakeholders critical to each plan. The organisation should identify and document the necessary contacts with suppliers and partners
In addition, the adequacy of continuity plans and associated management mechanisms should be reassessed in the event of significant changes in operations.
Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).
Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
Organisaation on tunnistettava vaadittu saavutettavuustaso tarjoamilleen palveluille sekä niihin liittyville tietojärjestelmille ja muulle tietojenkäsittely-ympäristölle. Organisaation on suunniteltava järjestelmänsä ja toimintansa niin, että saavutettavuustaso voidaan täyttää.
Vikasietoisen tietojenkäsittely-ympäristön suunnittelussa organisaation tulisi huomioida seuraavat tekijät:
Esimerkiksi tärkeissä tuotantojärjestelmissä järjestelmien vikasietoisuutta tulisi myös testata säännöllisesti, jotta varmistetaan sujuva vararatkaisuihin siirtymä vikatilanteissa.
Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.