信息技术在业务连续性中扮演着重要角色，宜专门设计相关的信息技术程序，以确保业务连续性运行的及时性和有效性。组织的业务连续性开发团队中不可缺少负责信息技术的成员。 

信息技术部门必须提供可将信息妥善有效存储的保护措施，并对各种灾害进行管理、防范并提供安全保护措施。可采用的方法包括信息的定期复制，并将备份信息存储于安全的另外一个地点。并且，宜对存放在该地点的数据进行定期测试，以确保其正确无误。

ISO/IEC27001 标准提供了业务连续性的管理控制措施， 以下是业务连续性计划(BCP)的相关因素：

• 业务风险及影响分析；

• 灾害事件初始反应活动；

• 紧急事件和业务恢复过程管理程序；

• 各层级培训计划；

• 保持业务连续性计划及时更新的程序。 

业务连续性计划宜定期演练，组织可以用以下问题进行BCP 的自查：

• 是否已制定确保信息连续性的书面计划？

• 上述计划是否每年进行更新和检验？ 

• 何时对计算机硬件、软件或应用系统进行过重要的调整 或改变？

• 是否对用以备份的介质进行了定期测试？

• 是否对应用程序、应用数据和运行系统软件进行了定期备份？

• 是否将该计划和信息进行了异地备份？ 

一个组织在风险分析方面最先要做的事情就是明确组织能够承担哪种类型的风险(风险偏好) 以及风险的承受能 力，使组织的所有成员了解组织的“风观”。这一点确定后，可采用一些工具或方法以确定风险等级并对识别出的风险进行管理。关键工具之一就是组织的控制措施。对于与萨班斯-奥克斯利法案相关的内容来说，组织的控制措施尤其重要。不仅在组织层面的财务控制要合规，活动层面的财务控制也要合规。