Krav 6 visar hur du ska tänka igenom risker och möjligheter, planera ditt svar på dem och sätt upp dina affärskontinuitetsmål. Den ber dig också att definiera hur du ska göra ändringar i din BCMS själv.
Detta avsnitt av ISO 22301 specifikationen hjälper dig att tänka igenom de risker eller möjligheter som kan hindra eller hjälpa dig när du ser till att ditt BCMS:
För att framgångsrikt arbeta igenom den här delen av ISO-processen måste du dra nytta av ditt tidigare tänkande i klausul 4. Du ska nu klargöra riskerna och möjligheterna som följer av de juridiska och regulatoriska kraven, intressentfrågor och BCMS-omfattning som du definierade där.
Du måste planera hur du ska identifiera, bedöma och behandla dessa risker och möjligheter. Sedan måste du tänka igenom hur du ska integrera eventuella resulterande åtgärder i ditt BCMS. Och du måste också se framåt och specificera hur du ska göra utvärdera effektiviteten av dessa åtgärder och övervaka dem över tiden.
Vi rekommenderar att du dokumenterar din riskidentifiering, bedömnings- och behandlingsprocesser för att visa hur du kommer att hantera varje ny risk som det kommer upp. Du måste planera att antingen tolerera varje risk, avsluta den eller överföra den till en annan part. Du måste också bevisa att dina riskbedömningar är konsekventa, giltiga och ger "jämförbara resultat", vilket innebär att du är tydlig med din riskmetod.
Du måste också tilldela varje risk till en riskägare inom din organisation. De måste bestämma dess nivå, uppskatta en "realistisk sannolikhet" för att det händer och bedöma de möjliga konsekvenserna om det faktiskt blir verklighet. När det är gjort, var och en risk måste prioriteras för riskbehandling och hanteras enligt dina dokumenterade processer.
Du vet förmodligen redan varför du vill utveckla ditt BCMS och har några strategiska mål på toppnivå som talar om för dig hur framgång ser ut.
Nu måste du ställa in din organisations affärskontinuitetsmål och se till att de överensstämmer med dess affärskontinuitetspolicy. Dessa mål måste också vara mätbara (om möjligt), övervakas, kommuniceras och förstås och alltid hållas uppdaterade. Och naturligtvis måste du dokumentera dem fullt ut. Din affärskontinuitetsmål måste också ta hänsyn till kraven i punkterna 4.1 och 4.2. Det betyder:
När du har slutfört dina affärskontinuitetsmål måste du bestämma vilka åtgärder du ska vidta och vilka verktyg du ska använda för att uppnå dem. Du måste också tilldela ansvar och sätta tidpunkter för, och bestämma hur du ska utvärdera, varje mål.
Du måste planera hur du ska göra ändringar i ditt BCMS, och se till att följa den planen närhelst din organisation behöver ändra den. Du måste följa din plan när du gör några eller alla ändringar, inklusive de som nämns i paragraf 10 i ISO-definitionerna.
Du måste också tänka igenom:
ISO 22301:2019 implementerar ramverket, grundläggande text och definitioner av Bilaga L, tidigare bilaga SL. Bilaga L fastställer ett ramverk på hög nivå för ISO ledningssystem standarder. Bilagan utarbetades för att införliva en liknande kärntext och gemensamma terminologi och begrepp.
Förutom klausul 8 tar bilaga L-kraven upp många av samma områden som kärnkraven i ISO 27001, som täcks av avsnitt 4.1 till 10.2.
En skräddarsydd praktisk session utifrån dina behov och mål