信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色，宜專門設(shè)計相關(guān)的信息技術(shù)程序，以確保業(yè)務(wù)連續(xù)性運(yùn)行的及時性和有效性。組織的業(yè)務(wù)連續(xù)性開發(fā)團(tuán)隊中不可缺少負(fù)責(zé)信息技術(shù)的成員。 

信息技術(shù)部門必須提供可將信息妥善有效存儲的保護(hù)措施，并對各種災(zāi)害進(jìn)行管理、防范并提供安全保護(hù)措施?？刹捎玫姆椒òㄐ畔⒌亩ㄆ趶?fù)制，并將備份信息存儲于安全的另外一個地點(diǎn)。并且，宜對存放在該地點(diǎn)的數(shù)據(jù)進(jìn)行定期測試，以確保其正確無誤。

ISO/IEC27001 標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施， 以下是業(yè)務(wù)連續(xù)性計劃(BCP)的相關(guān)因素：

• 業(yè)務(wù)風(fēng)險及影響分析；

• 災(zāi)害事件初始反應(yīng)活動；

• 緊急事件和業(yè)務(wù)恢復(fù)過程管理程序；

• 各層級培訓(xùn)計劃；

• 保持業(yè)務(wù)連續(xù)性計劃及時更新的程序。 

業(yè)務(wù)連續(xù)性計劃宜定期演練，組織可以用以下問題進(jìn)行BCP 的自查：

• 是否已制定確保信息連續(xù)性的書面計劃？

• 上述計劃是否每年進(jìn)行更新和檢驗？ 

• 何時對計算機(jī)硬件、軟件或應(yīng)用系統(tǒng)進(jìn)行過重要的調(diào)整 或改變？

• 是否對用以備份的介質(zhì)進(jìn)行了定期測試？

• 是否對應(yīng)用程序、應(yīng)用數(shù)據(jù)和運(yùn)行系統(tǒng)軟件進(jìn)行了定期備份？

• 是否將該計劃和信息進(jìn)行了異地備份？ 

一個組織在風(fēng)險分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類型的風(fēng)險(風(fēng)險偏好) 以及風(fēng)險的承受能 力，使組織的所有成員了解組織的“風(fēng)觀”。這一點(diǎn)確定后，可采用一些工具或方法以確定風(fēng)險等級并對識別出的風(fēng)險進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來說，組織的控制措施尤其重要。不僅在組織層面的財務(wù)控制要合規(guī)，活動層面的財務(wù)控制也要合規(guī)。