為處理意外事件做好準備的全部過程叫做應急計劃。CP是由信息技術部門和信息安全利益團體安排給他們機構的一個工作程序，用來對危害信息資源和資產安全的事件做準備，無論這些事件是人為的還是自然發生的，CP的內容包括探測事件的發生、對事件做出響應以及從事件中恢復。CP的主要目標是，意外事件發生后，要在普通業務活動遭受最小損失和破壞的條件下，恢復到普通操作模式——換句話說，是確保事情回到原來的狀態。即使是在意外發生時，理想的CP應該確保信息系統可以被機構持續使用。

CP包括3個基本組成部分，后面部分將有詳細的討論。

1.事故響應計劃

2.災難恢復計劃

3.業務連續性計劃

IRP把焦點放在對事件的及時響應上。如果響應團隊沒有把某個意外事件判斷為一次災難，那么每一個意外事件都被當成事故來對待。隨后就會調用DRP， 它則把焦點放在恢復主要場所（primary site）的操作上。如果主要場所的操作不能被迅速恢復，例如，當損失非常嚴重的時候，或者會在長時間內影響機構的正?；顒拥臅r候，BCP就會和DRP同時出現，使業務能夠在一個可供選擇的位置上繼續下去，直到機構可以重新使用其主要場所或者選擇一個新的主要場所。

根據一個機構的大小及其商業理念，信息技術和信息安全主管可以①把CP 的這三個組成部分作為一個整體的計劃來創建并開發，或者②單獨創建這3個部分，與一組能夠實現持續性的連鎖程序組合起來。在典型情況下，大型復雜機構會單獨創建并開發3個CP組成部分，因為每個組成部分在范圍、適用性和設計上都是不同的。小型機構則趨向于采用單一計劃方法，由一組直截了當的恢復策略組成。

就像在給3個利益團體分配責任一樣，CIO、系統管理員、CISO以及主要IT 部門主管和業務主管應該積極地介入到所有這3個CP組成部分的創建和開發之中，為了確保整個CP過程中的連續性，在創建每一個CP組成部分時，應急計劃者們都應該遵循下面這6個步驟：

①確定任務或業務的關鍵功能。每個機構都必須確定出機構中必需能進行持續操作的操作區域。在災難事件中，這些區域必須具有最高的優先權，優于所有其他從最關鍵到最不關鍵的部分，以允許資源（時間、金錢、人員等）的最佳分配。

②確定支持關鍵功能的資源。機構必須確定每個功能依賴于哪些資源，這些資源可能包括人員、計算能力、應用程序、數據、服務、物理基礎設施以及文檔（表格， 報告等）。

③預測潛在的突發事故或災難。機構先假定一個潛在的災難，并且確定它會影響哪些功能。

④選擇應急計劃策略。這個步驟包括確定每個潛在災難場面的應付方法，并且擬出一個計劃以準備對災難做出響應。

⑤實施選定的策略。一旦選定應急計劃策略，機構必須做出恰當的準備，草擬出策略，并且對員工進行培訓，這些任務中有很多會一直持續到計劃已經制定好并就位之后。

⑥測試和修訂應急計劃。所有的CP組成部分，包括IRP，都應該定期的接受測試。 因為漏洞可能會突然出現在計劃及其實施過程中。