3)策略

BCP應包括以下策略：

A.預防一預防的目的在于減少災難發生的可能性。有關預防的策略應該包括制止和預防控制。制止控制可以減少危險的可能性。預防控制則是保護企業的弱點區域，以防御危險的發生并降低其影響。這兩類控制在實際運營中廣泛存在，比如經營場所的安全、人員控制、 相關基礎設施（如UPS、后備電池、煙火探測器、滅火器等）、軟件控制、相關的存儲和恢復等。

企業希望保障其資源（包括信息資產）的可用性和安全性，其安全策略必須針對這些對象而制定，并且提供有關資源使用和管理的指南。在熟悉了企業的所有資源、資源的布局以及危險管理等之后，才可能拿出實施安全策略所需的必要的控制措施。這些控制措施或安全舉措必須時時加以檢查和測試。

如果一種安全策略，能將預防措施都部署到位，可以監控對系統的入侵并防范那些試圖破壞系統的行為，那么其本身就是一種制止控制。預防計劃的執行必須小心謹慎，必須保證實施安全策略時既不能對日常業務帶來限制，出現瓶頸，也不能引起可用性問題，或者給系統的訪問和使用帶來障礙。

B.響應一響應就是當危險發生時的反應。它必須能夠阻止危險的進一步擴大j評估危險的程度，通過與外部世界的正常通信聯絡挽回企業的聲譽，并啟動必要的恢復時間表。

對業務中斷的第一反應應該是告知所有相關的人員。如果危險有事前警示的話（比如這次的非典爆發），那么這種告知就可以提前進行。及時的告知非常重要，因為這可臺＆會給阻止危險的進一步擴大創造機會。如果在適當的時機執行一次關機、一次轉換或者一次撤離， 甚至有可能完全防止危險的發生。但是這需要有診斷或探測控制的存在。這類控制或者可以持續掃描以探測發生中斷的征候（網絡、服務器），或者可以從外部資源搜集信息（自然災害）。