这一节帮助你在宏观层面考虑公司的信息技术服务连续性风险，它是信息技术风险组合评估的输入项。

    5.4.1  对你的业务重要吗

        ●      你的核心业务流程高度依赖于信息技术系统。

        ●      你对信息技术服务冲击和系统意外只有很低的容忍度。

        ●      客户和同事期待你不断的努力，在不利的条件下还能继续提供服务，比如发生自然灾害。

        如果你同意上述1个或更多的论点，那么信息技术服务连续性风险对你的业务是重要的。

    5.4.2  在做正确的事情吗

        ●      度量了关键系统的可用性，并对可用性实施了管理。

        ●      系统被设计带有某种故障忍耐力，是可信赖的。

        ●      危机管理结构有着明晰的定义，包括了信息技术服务交付团队的责任；或者同信息技术服务交付团队责任人之间存在交互渠道。

        ●      已经制定了灾害恢复计划；针对关键应用对这项计划进行了维护。

        ●      灾害恢复计划顺应了业务连续性计划和期望。

        ●      灾害恢复计划和能力被规范地测试和总结。

        ●      对于使用第三方信息技术服务的场合，服务连续性的责任包括灾害过程，都在合约中清楚列明。

        如果你同意上述论点，那么你是在做正确的事情。如果你不同意2个或者更多，那么你在信息技术服务连续性风险管理能力上需要做很大的改进。

    5.4.3  有好的跟踪记录吗

        ●      在需要时核心系统是可用的，不可用的时间极少。

        ●      出现信息技术服务失效时，它们在可接受的时间内得以恢复。

        ●      你的危机反应能力和信息技术服务恢复能力已经通过实际发生事故和/或通过测试和演练得到了验证。

        如果你同意上述论点，那么你就有一个好的信息技术服务连续性风险管理的跟踪记录。如果你不同意上述的一个或者更多的论点，那么有证据证明你需要提高你的信息技术服务连续性风险管理能力。