Tahap pertama adalah untuk mengidentifikasi fungsi bisnis penting Anda (menggunakan proses yang dikenal sebagai ‘Analisis Dampak Bisnis’), dan risiko yang berhubungan dengan operasinya – dan mengembangkan langkah-langkah pengurangan risiko yang tepat untuk memastikan kesinambungan operasi jika terjadi insiden yang mengganggu berbagai operasi tersebut. Pertimbangan utama saat mengembangkan rencana kesinambungan bisnis harus mencakup:
- Penolakan akses
- Kehilangan staf inti
- Kehilangan pemasok utama
- Kehilangan sistem inti
Analisis Dampak Bisnis akan mengidentifikasi ‘Tujuan Waktu Pemulihan’ (berapa lama dan di tingkat apa proses bisnis harus dipulihkan setelah ada gangguan) untuk menghindari konsekuensi yang tidak dapat diterima.
Sistem Teknologi Informasi (TI) harus dirancang untuk tangguh dan harus tersedia agar sepadan dengan keperluan bisnis dan Tujuan Waktu Pemulihan. Jadi jika suatu fungsi harus tersedia 24 jam sehari dan 7 hari seminggu (24 x 7), sistem yang mendukung fungsi tersebut harus mencerminkan kebutuhan itu. Contohnya, situs web sebuah perusahaan yang memungkinkan pelanggan melakukan pemesanan harus tersedia 24 x 7 dan harus memiliki ketangguhan yang tepat. Tetapi sistem lain, dapat menoleransi tidak tersedianya fungsi tersebut beberapa jam sebelum mulai memengaruhi hal mendasar atau tanggung jawab legal atau keuangan. Beberapa system akan menjadi penting pada waktu tertentu dan tidak terlalu penting pada waktu lainnya (contohnya sistem pembayaran gaji).
Sistem TI (server dan infrastruktur telekomunikasi) untuk organisasi lebih besar cenderung disimpan di pusat data. Pusat data direplikasi sehingga jika terjadi insiden sangat buruk di satu pusat data, sistem akan secara otomatis berpindah (‘failover’) ke tempat kedua (pemulihan dari bencana). Kedua pusat data tersebut harus diletakkan dengan jarak yang cukup terpisah sehingga tidak kedua-duanya yang terdampak oleh suatu insiden tunggal. Pengujian failover harus dilakukan secara rutin, untuk sistem penting dan jika memungkinkan dan mudah, untuk seluruh pusat data.
Backup sistem harus dibuat untuk mengantisipasi kehilangan atau kerusakan data. Frekuensi backup ditentukan oleh ‘Tujuan Titik Pemulihan’ – yang dijabarkan sebagai periode terlama yang dapat ditoleransi saat data mungkin hilang dari layanan TI karena terjadinya insiden besar. Tujuan Titik Pemulihan memberikan batas waktu bekerja untuk arsitek sistem, Contohnya, jika diatur ke empat jam, maka pada praktiknya backup di luar kantor harus terus dipelihara – backup di luar kantor harian yang dilakukan di pita rekaman saja tidak memadai.
Untuk organisasi lebih kecil yang tidak menggunakan layanan pusat data, backup harus disimpan di luar kantor dan dalam lemari besi yang tahan api. Periode penyimpanan backup ditentukan oleh kebutuhan bisnis, atau dalam beberapa kasus berdasarkan legislasi.
Pemeriksaan harus dilakukan untuk memastikan backup dapat berfungsi dengan baik dan backup sampel harus dipulihkan secara rutin untuk memastikan data dapat terbaca.