Krav 6 viser deg hvordan du skal tenke gjennom risikoer og muligheter, planlegg svaret ditt på dem og sett dine forretningskontinuitetsmål. Den ber deg også om å definere hvordan du vil gjøre eventuelle endringer i din BCMS selv.
Denne delen av ISO 22301 spesifikasjonen hjelper deg med å tenke gjennom risikoene eller mulighetene som kan hindre eller hjelpe deg når du sørger for at BCMS:
For å lykkes med å jobbe gjennom denne delen av ISO-prosessen, må du trekke på din tidligere tankegang i klausul 4. Du skal nå klargjøre risikoene og mulighetene som dukker opp fra de juridiske og regulatoriske kravene, interessepartsspørsmål og BCMS-omfanget du definerte der.
Du må planlegge hvordan du skal identifisere, vurdere og behandle disse risikoene og muligheter. Deretter må du tenke gjennom hvordan du skal integrere eventuelle resulterende handlinger i BCMS. Og du må også se fremover, spesifisere hvordan du skal evaluere effektiviteten til disse handlingene og overvåke dem over tid.
Vi anbefaler å dokumentere risikoidentifikasjonen din, vurderings- og behandlingsprosesser for å vise hvordan du vil håndtere hver ny risiko som det kommer opp. Du må planlegge å enten tolerere hver risiko, avslutte den eller overføre den til en annen part. Du må også bevise at risikovurderingene dine er konsistente, gyldige og gir "sammenlignbare resultater", noe som betyr at du er tydelig på risikometodikken din.
Du må også tilordne hver risiko til en risikoeier i organisasjonen din. De må bestemme nivået, anslå en "realistisk sannsynlighet" for at det skjer og vurdere de mulige konsekvensene hvis det faktisk blir en realitet. Når det er gjort, hver risiko må prioriteres for risikobehandling og administrert i henhold til dine dokumenterte prosesser.
Du vet sannsynligvis allerede hvorfor du ønsker å utvikle BCMS og har noen strategiske mål på toppnivå som forteller deg hvordan suksess ser ut.
Nå må du angi organisasjonens forretningskontinuitetsmål og sørge for at de samsvarer med forretningskontinuitetspolitikken. Disse målene må også være målbare (der det er mulig), overvåkes, kommuniseres og forstås, og alltid holdes oppdatert. Og du må selvfølgelig dokumentere dem fullt ut. Din forretningskontinuitetsmål må også ta hensyn til kravene i punktene 4.1 og 4.2. Det betyr:
Når du har fullført forretningskontinuitetsmålene dine, må du bestemme deg for hvilke handlinger du skal ta og hvilke verktøy du skal bruke for å nå dem. Du må også tildele ansvar og sette tidspunkter for, og bestemme hvordan du vil evaluere, hvert mål.
Du må planlegge hvordan du skal gjøre endringer i BCMS-en din, og sørg for å følge den planen når organisasjonen din trenger å endre den. Du må følge planen din når du gjør noen eller alle endringer, inkludert de som er nevnt i paragraf 10 i ISO-definisjonene.
Du må også tenke gjennom:
ISO 22301:2019 implementerer rammeverket, grunnleggende tekst og definisjoner av Vedlegg L, tidligere vedlegg SL. Vedlegg L etablerer et rammeverk på høyt nivå for ISO styringssystem standarder. Vedlegget ble utarbeidet for å inkludere en lignende kjernetekst og felles terminologi og begreper.
Bortsett fra klausul 8, adresserer vedlegg L-kravene mange av de samme områdene som kjernekrav i ISO 27001, dekket i avsnitt 4.1 til og med 10.2.
En skreddersydd praktisk økt basert på dine behov og mål
