營運持續計畫(Contingency Planning)
1 營運持續計畫政策與執行：
1.1 組織應依營運環境與需求制定營運持續計畫。
1.2 營運持續計畫應被充份測試與驗證，確保符合組織所可能面臨之實際情況。
1.3 依據營運持續計畫，相關人員應定期進行緊急應變模擬。
1.4 所有之演練應留下記錄。
1.5 演練後應進行必要之改善，以補足計畫中不足之處。

2 異地備援/備份之場所：
2.1 組織無法對所有非預期中之天災人禍進行全面性之預防，對於影響營運甚鉅之各類資料，需有另一安全之備份。
2.2 在成本許可情況下，組織應建立一異地備份/備援機房，以儲存組織之各類資料。
2.3 此一異地建築最少需距主機房或主要儲存空間500m – 1000m以上，且儲存空間之環境條件不低於主機房或主要儲存空間。
2.4 儲存於異地備份/備援機房中之資料將用於主要資料毀損時之復原使用。
2.5 為確保備份資料在還原時能有最少之損失，組織應依資料之重要性設定異地備份之頻率與時間間隔。
2.6 對於進出該異地備援/備份機房之人員需進行嚴格管制，且進出人員需留下必要之記錄。
2.7 若無必要，不應揭露這些場所所存放之機敏性資料。

3 資訊系統備份：
3.1 組織依營運需求進行資訊系統與資料之備份。
3.2 所備份之資訊系統與資料需有保護機制，以確保資料之機密性與完整性。加密機制可提供此類之協助。
3.3 存放備份資料之地點需有適當之安全防護，包括門禁管制、環境控制機制。
3.4 組織需指派專人管理備份資料以及儲存地點。
3.5 備份過程需完整記錄：
3.5.1 負責人員。
3.5.2 執行之設備。
3.5.3 備份標的物。
3.5.4 備份後儲存地點。
3.5.5 備份作業是否成功。
3.5.6 為確保備份資料之可用性，組織需指派專人定期進行資料之還原測試，並記錄所有之還原作業。
3.5.7 備份資料之存取需由權責單位主管核可後始可進行。
3.5.8 對於備份資料之存取，需留下相關記錄。

參考資料：NIST SP 800-53