Når du har planlagt din BCMS, må du tenke gjennom hvordan det vil fungere i praksis. Klausul 8 fremhever alle de praktiske handlingene du må ta for å sikre at BCMS-en din fungerer som den skal. Det er en av de mest detaljerte og viktige delene av standarden.
Den ber deg om å gå gjennom potensielle forretningstrusler og farer i noen detalj. Du må vurdere hvordan de kan forstyrre organisasjonen din og bruke den tankegangen til å konkretisere et bredt spekter av kontinuitetsstyring detaljer. Deretter beskriver den hvordan du regelmessig tester BCMS og evaluerer dens pågående effektivitet.
Du må definere, utføre, spore og dokumentere prosessene som sikrer at BCMS:
Du må nøye overvåke eventuelle planlagte endringer i din ISMS og se opp for eventuelle uplanlagte, slik at du kan handle raskt for å forhindre problemer de kan forårsake. Du må gjøre det globalt, holde et øye med forsyningskjeden din og eventuelle outsourcede prosesser så vel som organisasjonens interne.
Du må forstå nøyaktig hvordan forretningsavbrudd kan påvirke og skape risiko for din organisasjon. Det betyr å sette opp og drive omfattende forretningseffekt analyse og risikovurdering prosedyrer. Du står fritt til å velge hvilken du vil utføre først. Din forretningskonsekvensanalyse vil hjelpe deg med å etablere prioriteringer og krav til forretningskontinuitet. Du må starte med å definere virkningene som kan skape problemer for organisasjonen din. Deretter må du tenke gjennom de spesifikke aktivitetene de kan treffe og kartlegge en tidsskala for problemene de kan forårsake. Den tidsskalaen vil hjelpe deg med å vurdere nøyaktig når disse problemene blir uakseptable.
Perioden frem til det øyeblikket er den maksimalt tolerable perioden med avbrudd, eller MTPD. Det er tiden etter at ingen gjenoppretting er mulig. Du kan ha én MTPD for hele organisasjonen din, eller flere for ulike produkter eller tjenester. Når det er definert, kan du angi et spesifikt mål for gjenopprettingstid (RTO). Det er det punktet i fremtiden du er i gang igjen. Du må også definere gjenopprettingspunktmålet ditt, eller RPO. Det er det punktet i fortiden du ønsker å komme deg til, eller (for å si det på en annen måte) din siste bekreftede tilstand med integritet. Igjen, du kan ha en eller flere RTOer og RPOer, avhengig av organisasjonens art og dens produkter og tjenester.
Standarden peker deg mot ISO 31000 for veiledning om risikostyring. Du må forstå risikoen som forstyrrelser kan skape for organisasjonens viktigste aktiviteter og ressurser. Når du har analysert og evaluert dem, vil du være i stand til å bestemme hvilke du skal iverksette tiltak mot. Selvfølgelig, vår styring av forretningskontinuitet verktøy kan hjelpe deg med å analysere og vurdere utfordringene organisasjonen din står overfor og forenkle deling og begrunnelse av konklusjonene dine.
Du har sett på hvordan en krise kan påvirke og skape risiko for organisasjonen din. Du har forstått arten av disse påvirkningene og risikoene, og du har kartlagt en tidslinje for å håndtere dem. Nå må du planlegge nøyaktig hva du skal gjøre før krisen rammer, mens du er midt i den og etter at den er over.
Du må utforske mulige strategier og løsninger for å håndtere det. De skal:
Ta deretter valget ditt og se etter en som best hjelper deg med å fortsette eller starte på nytt nøkkelaktivitetene du har identifisert innenfor tidsrammene du har satt. Den må også ta hensyn til risikonivåene organisasjonen din er fornøyd med, pluss eventuelle andre relevante kostnader eller fordeler.
Og selvfølgelig trenger du de riktige ressursene for å implementere løsningene du velger. Individuelle organisasjoner kan ha svært ulike behov. Du må begynne med å definere personene du trenger å tegne på. Når du vet det, kan du planlegge:
Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.
Du er nå klar til å implementere og vedlikeholde din forretningskontinuitetsløsning, klar for umiddelbar distribusjon i krisetider.
Det betyr å planlegge alle organisasjonens avbruddshåndteringsprosesser og sette klare kriterier for å utløse dem. Disse prosessene må samsvare med den strategiske tenkningen og løsningsutviklingen du allerede har gjort. De trenger også et responsrammeverk for å sikre at organisasjonen din deler betimelige advarsler og tilbakemeldinger med alle relevante interessenter.
Din forretningskontinuitetsløsning må:
Disrupsjonshåndteringsteamene dine må også være klare til å gå. De må alle bestå av klart identifisert personell, støttet av fullt ut dokumenterte prosedyrer. Det vil hjelpe dem med å vurdere arten, størrelsen og potensielle konsekvensene av enhver krise, og deretter handle deretter ved å:
God kommunikasjon er nøkkelen til effektiv kriserespons. Du må tenke gjennom hvordan du vil kommunisere i utfordrende situasjoner, kartlegge både interne og eksterne kommunikasjonsruter og sørge for at alt riktig utstyr er tilgjengelig for å støtte dem.
Du må også sørge for at all inngående og utgående kommunikasjon er riktig logget og – der det er relevant – svart på. Din bredere kommunikasjonsstrategi må inkludere alt fra å engasjere seg med beredskapspersonell til å håndtere media. Du må kanskje også sørge for at kommunikasjon mellom organisasjoner som svarer, administreres riktig.
Og selvfølgelig må du inkludere alt dette og mer i organisasjonens forretningskontinuitetsplaner og -prosedyrer. ISO 22301-standarden går i betydelig detalj om nøyaktig hva de må inneholde, i klausulene 8.4.4 og 8.4.5. Vi anbefaler å gå gjennom kravene deres så nøye som mulig for å sikre at planene dine stemmer overens med deres veldig klare og spesifikke forventninger.
Standarden ber deg sette opp og kjøre et regelmessig evaluerings- og testprogram for å bekrefte påliteligheten til dine forretningskontinuitetsplaner og -løsninger. Det betyr å gjennomføre aktiviteter og vurderinger som stemmer overens med dine forretningskontinuitetsmål og fokusere på godt strukturerte, realistiske scenarier med klart definerte prioriteringer og mål.
De må ha en positiv innvirkning på BCMS. De må bygge relasjoner, kunnskap og kompetanse til alle team som er involvert i det, og føre til konstruktiv, grundig evalueringer og tilbakemeldinger som blir bedre den. Over tid bør de både validere BCMS-en din i dens nåværende tilstand og hjelpe deg med å forbedre og utvikle den. Det siste punktet er avgjørende - du må sørge for at du registrerer og handler på alt du lærer av øvelsene du kjører.
En skreddersydd praktisk økt basert på dine behov og mål
Vi er så glade for at vi fant denne løsningen, den gjorde at alt passet sammen lettere.
Denne klausulen bygger ut fra den siste, og beskriver hvordan du bør evaluere alle aspekter av BCMS og alle faktorer som muligens kan påvirke den.
Det gir deg en mal for en grundig, regelmessig re-evaluering av alt arbeidet du har gjort. Du må se på alle aspekter av ditt BCMS' svar på din organisasjons behov og problemer forhold til eventuelle eksterne partnere og leverandører og dens samsvar med alle relevante retningslinjer, forskrifter og bransjenormer. Som alltid råder den deg også til å følge nøye med på dokumentasjonen og prosedyrene, og oppdatere dem raskt og effektivt.
Du må planlegge å gjøre det med jevne mellomrom. Du bør også revurdere BCMS-en din etter eventuelle hendelser eller aktiveringer, eller når det oppstår betydelige endringer i organisasjonen eller forretningsmiljøet.
ISO 22301:2019 implementerer rammeverket, grunnleggende tekst og definisjoner av Vedlegg L, tidligere vedlegg SL. Vedlegg L etablerer et rammeverk på høyt nivå for ISO styringssystem standarder. Vedlegget ble utarbeidet for å inkludere en lignende kjernetekst og felles terminologi og begreper.
Bortsett fra klausul 8, adresserer vedlegg L-kravene mange av de samme områdene som kjernekrav i ISO 27001, dekket i avsnitt 4.1 til og med 10.2.
