Um plano de contingência é um curso de ação projetado para ajudar uma organização a responder efetivamente a um evento ou situação futura significativa que pode ou não acontecer.
Um plano de contingência é às vezes referido como "Plano B", porque ele também pode ser usado como uma alternativa de ação se os resultados esperados não se materializarem. O planejamento de contingência é um componente da continuidade do negócio, recuperação de desastres e gerenciamento de risco.
Os sete passos delineados para um plano de contingência de TI na publicação NIST 800-34 Rev. 1 são:
1. Desenvolva a declaração de política de planejamento de contingência. Uma política formal fornece a autoridade e orientação necessárias para desenvolver um plano de contingência efetivo.
2. Conduzir a análise de impacto nos negócios (BIA). A BIA ajuda a identificar e priorizar sistemas de informação e componentes críticos para apoiar a missão/ funções de negócios da organização.
3. Identificar controles preventivos. As medidas tomadas para reduzir os efeitos das interrupções do sistema podem aumentar a disponibilidade do sistema e reduzir os custos do ciclo de vida de contingência.
4. Criar estratégias de contingência. Estratégias de recuperação completas asseguram que o sistema pode ser recuperado rápida e eficazmente após uma interrupção.
5. Desenvolver um plano de contingência do sistema de informação. O plano de contingência deve conter orientações detalhadas e procedimentos para restaurar um sistema danificado, exclusivo para o nível de impacto de segurança do sistema e requisitos de recuperação.
p>6. Proteger testes, treinamento e exercícios do plano. Testes validam as capacidades de recuperação, enquanto o treinamento prepara o pessoal de recuperação para a ativação do plano e o exercício do plano identifica lacunas no planejamento; combinado, as atividades melhoram a eficácia do plano e a preparação geral da organização.
7. Segurar a manutenção do plano. O plano deve ser um documento vivo que é atualizado regularmente para permanecer atualizado com as melhorias do sistema e mudanças organizacionais.