Un piano di emergenza è una linea di condotta progettata per aiutare un'organizzazione a rispondere in modo efficace a un evento o una situazione futuri significativi che possono verificarsi o meno.
Un piano di emergenza è talvolta denominato "Piano B", perché può essere utilizzato anche come alternativa all'azione se i risultati attesi non si concretizzano. La pianificazione delle emergenze è una componente della continuità aziendale, del ripristino di emergenza e della gestione del rischio.
I sette passaggi delineati per un piano di emergenza IT nella pubblicazione NIST 800-34 Rev.1 sono:
1. Sviluppare la dichiarazione della politica di pianificazione di emergenza. Una politica formale fornisce l'autorità e la guida necessarie per sviluppare un piano di emergenza efficace.
2. Condurre l'analisi dell'impatto aziendale (BIA). La BIA aiuta a identificare e dare priorità ai sistemi informativi e ai componenti critici per supportare la missione / le funzioni aziendali dell'organizzazione.
3. Identifica i controlli preventivi. Le misure adottate per ridurre gli effetti delle interruzioni del sistema possono aumentare la disponibilità del sistema e ridurre i costi del ciclo di vita imprevisto.
4. Crea strategie di emergenza. Strategie di ripristino approfondite assicurano che il sistema possa essere ripristinato rapidamente ed efficacemente in seguito a un'interruzione.
5. Sviluppare un piano di emergenza del sistema informativo. Il piano di emergenza dovrebbe contenere una guida dettagliata e procedure per il ripristino di un sistema danneggiato univoco per il livello di impatto sulla sicurezza del sistema e per i requisiti di ripristino.
6. Garantire test, formazione ed esercizi del piano. Il test convalida le capacità di recupero, mentre la formazione prepara il personale di recupero per l'attivazione del piano e l'esercizio del piano identifica le lacune di pianificazione; combinate, le attività migliorano l'efficacia del piano e la preparazione complessiva dell'organizzazione.
7. Garantire la manutenzione del piano. Il piano dovrebbe essere un documento vivo che viene aggiornato regolarmente per rimanere aggiornato con i miglioramenti del sistema e le modifiche organizzative.