Før du oppretter og implementerer din Business Continuity Management System (BCMS), må du forstå nøyaktig hva det skal gjøre for deg og dine interessenter.
Det betyr å være tydelig på hva organisasjonen din gjør, hvordan den gjør det, hva slags reguleringsmiljø som omgir den, hva dens interessenter trenger fra den og en rekke andre relevante faktorer.
Klausul 4.1 i ISO 22301 vil hjelpe deg med den prosessen. Den fastsetter klare kriterier som definerer hva du skal vurdere og hva du skal ignorere når du avgrenser, oppretter, implementerer og vedlikeholder BCMS. Når du har definert organisasjonens unike funksjoner og behov, vil du kunne lage et unikt BCMS som svarer på dem effektivt, konstruktivt og sikkert.
Du og teamet ditt bør begynne med å identifisere nøkkelen interne og eksterne faktorer som definerer hvordan organisasjonen din opererer. Det vil hjelpe deg å forstå hva du trenger å beskytte for å opprettholde kontinuitet i kritiske situasjoner, og så planlegge og være klar for dem.
Eksterne faktorer å se på inkluderer driftsmiljøet ditt, kontraktsmessige krav, og eventuelle relevante forskrifter og juridiske krav. Interne faktorer inkluderer din forretningsstrategi, retningslinjer og standarder. Og du må ta hensyn til dine produkter, tjenester, overordnede forretningsmål og generell holdning til risiko.
Å forstå hvordan kritiske situasjoner kan hindre den jevne driften av organisasjonen din ved å påvirke noen eller alle av disse, vil hjelpe deg med å sikre at BCMS-en din beskytter dem.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Du vil identifisere alle parter som kan ha interesse i eller være relevante for organisasjonens BCMS. Deretter bør du definere nøyaktig hva de trenger fra organisasjonen din, som vanligvis betyr å holde produktene og tjenestene tilgjengelige for dem. Det vil hjelpe deg å sikre deg organisasjonen fortsetter å levere det de trenger i krisetider.
For å oppnå ISO 22301-sertifisering, må organisasjonen din utvikle, gjennomføre og vedlikeholde en juridisk og forskriftsmessig vurderingsprosess.
Det skal hjelpe deg med å identifisere, få tilgang til, evaluere og dele alle relevante juridiske og regulatoriske krav. Det er de som er relatert til kontinuiteten til alle produktene, tjenestene, aktivitetene og ressursene du dekker i BCMS.
Du må sørge for at du tar disse kravene i betraktning når organisasjonen tar i bruk og administrerer BCMS. Og du bør holde oppdatert dokumentasjon for å hjelpe den både å overholde dem og bevise at den er i samsvar med dem.
Klausul 4.3.1 ber organisasjonen din definere det brede omfanget av BCMS ved å tenke gjennom hva det inkluderer og når det skal brukes. Når du gjør det, bør du vurdere:
Du bør dokumentere og være klar til å dele konklusjonene dine.
Du har definert organisasjonen din. Du har tenkt gjennom alle de forskjellige kontekstene som påvirker det. Du har forstått behovene og kravene til interesserte parter. Det har gitt deg en bred følelse av når og hvordan BCMS skal brukes.
Nå må du bestemme hvilke deler av organisasjonen din, og hvilke av dens produkter eller tjenester som skal inkluderes i den. Det betyr å se på organisasjonens plassering eller lokasjoner, størrelse, natur og kompleksitet. Du bør også gjennomføre en forretningskonsekvensanalyse og/eller relevant risikovurdering.
Deretter må du dokumentere og forklare beslutningene dine. Det betyr å gjøre klart hva som er innenfor BCMS-området ditt, hva du har bestemt deg for å ekskludere og hvorfor du har ekskludert det. Og du må vise at eventuelle ekskluderinger ikke vil skape noen kontinuitetsutfordringer i krisetider.
Last ned din gratis guide
for å strømlinjeforme din Infosec
Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
Denne klausulen bemerker at organisasjonen din nå skal være klar til å utvikle, deretter adoptere, administrere og kontinuerlig forbedre, en BCMS. Du må tenke gjennom prosessene du må sette på plass for å gjøre det, og du bør sørge for at de samhandler med hverandre på konstruktive måter.
Og vi avslutter med en siste påminnelse om at BCMS-en din bør både:
ISO 22301:2019 implementerer rammeverket, grunnleggende tekst og definisjoner av Vedlegg L, tidligere vedlegg SL. Vedlegg L etablerer et rammeverk på høyt nivå for ISO styringssystem standarder. Vedlegget ble utarbeidet for å inkludere en lignende kjernetekst og felles terminologi og begreper.
Bortsett fra klausul 8, adresserer vedlegg L-kravene mange av de samme områdene som kjernekrav i ISO 27001, dekket i avsnitt 4.1 til og med 10.2.
ISMS.online er en
one-stop-løsning som radikalt fremskyndet implementeringen vår.