14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio
a) entendimento dos riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
b) identificação de todos os ativos envolvidos em processos críticos de negócio;
c) entendimento do impacto que incidentes de segurança da informação provavelmente terão sobre os negócios (é importante que as soluções encontradas possam tratar tanto os pequenos incidentes, como os mais sérios, que poderiam colocar em risco a continuidade da organização) e estabelecimento dos objetivos do negócio dos recursos de processamento da informação;
d) consideração de contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
e) identificação e consideração da implementação de controles preventivos e de mitigação;
f) identificação de recursos financeiros, organizacionais, técnicos e ambientais suficientes para identificar os requisitos de segurança da informação;
g) garantia da segurança de pessoal e proteção de recursos de processamento das informações e bens organizacionais;
h) detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia da continuidade do negócio estabelecida;
i) testes e atualizações regulares dos planos e processos implantados;
j) garantia de que a gestão da continuidade do negócio esteja incorporada aos processos e estrutura da organização. Convém que a responsabilidade pela coordenação do processo de gestão de continuidade de negócios seja atribuída a um nível adequado dentro da organização.
Fonte: ISO/IEC 27002:2005, página: 103