【正确答案】 D

【答案解析】解析：D正确。尽管创建连续性计划没有具体的科学方程式可以遵循，但某些最佳做法已经经过了时间的考验，证明了自己的价值。美国国家标准技术研究院(National Institute of Standards and Technology，NIST)是一家负责开发最佳做法并记录它们从而方便所有人使用的组织。NIST在它的专门出版物800-34，Continuity Planning Guide for Information Technology Systems中概述了7个步骤：制定连续性计划说明书、进行业务影响分析、确定预防控制措施、制定恢复战略、制定应急计划、测试应急计划、进行训练和演习，以及维护计划。进行业务影响分析包括确定关键功能和系统，使组织根据需要对它们进行优先级排列。此外，它还包括确定漏洞和威胁，以及计算风险。 A不正确。因为确定预防控制措施必须在对关键功能和系统的优先级进行了排列、确定了它们的漏洞、威胁和风险(它是业务影响分析的一部分)之后进行。进行业务影响分析是创建连续性计划的第2步，制定预防控制措施是第3步。 B不正确。因为制定连续性计划政策说明书主要涉及撰写指南，该指南是制定业务连续性计划提供的必备，也用于给必要的角色授权以执行这些任务。它是创建连续性计划的第1步，因而排在确定和对关键系统和功能进行优先级排序(即进行业务影响分析)步骤之前。 C不正确。因为制定恢复战略涉及制定确保系统和关键功能能够快速上线的方法。在此之前，必须进行业务影响分析，判断哪个系统和功能是关键的，所以应该在恢复时优先考虑。