När du har planerat ditt BCMSmåste du tänka igenom hur det kommer att fungera i praktiken. Klausul 8 belyser alla praktiska åtgärder du behöver vidta för att se till att ditt BCMS fungerar som det ska. Det är en av de mest detaljerade och viktiga delarna av standarden.
Den ber dig att arbeta igenom potentiella affärshot och faror i detalj. Du måste överväga hur de kan störa din organisation och använda det tänket för att konkretisera ett brett spektrum av kontinuitetshantering detaljer. Därefter beskrivs hur du regelbundet testar ditt BCMS och utvärderar dess pågående effektivitet.
Du måste definiera, köra, spåra och dokumentera processerna som säkerställer att ditt BCMS:
Du måste noggrant övervaka alla planerade ändringar av din ISMS och se upp för eventuella oplanerade sådana, så att du kan agera snabbt för att förhindra eventuella problem de kan orsaka. Du måste göra det globalt, hålla ett öga på din leveranskedja och eventuella outsourcade processer såväl som din organisations interna.
Du måste förstå exakt hur affärsstörningar kan inträffa påverka och skapa risker för din organisation. Det innebär att skapa och driva omfattande affärseffekter analys och riskbedömning förfaranden. Du är fri att välja vilken du ska utföra först. Din affärskonsekvensanalys hjälper dig att fastställa prioriteringar och krav för affärskontinuitet. Du måste börja med att definiera de effekter som kan orsaka problem för din organisation. Sedan måste du tänka igenom de specifika aktiviteter de kan träffa och kartlägga en tidsskala för de problem de kan orsaka. Den tidsskalan hjälper dig att bedöma exakt när dessa problem blir oacceptabla.
Perioden fram till det ögonblicket är den maximala tolererbara avbrottsperioden, eller MTPD. Det är den tid efter vilken ingen återhämtning är möjlig. Du kan ha en MTPD för hela din organisation, eller flera för olika produkter eller tjänster. När det har definierats kan du ställa in ett specifikt mål för återhämtningstid (RTO). Det är den punkt i framtiden då du är igång igen. Du måste också definiera ditt återställningspunktsmål, eller RPO. Det är den punkt i det förflutna som du vill återhämta dig till, eller (för att uttrycka det på ett annat sätt) ditt senaste bekräftade tillstånd med integritet. Återigen kan du ha en eller flera RTO:er och RPO:er, beroende på typen av din organisation och dess produkter och tjänster.
Standarden pekar mot ISO 31000 för vägledning om riskhantering. Du måste förstå de risker som störningar kan skapa för din organisations viktigaste aktiviteter och resurser. När du har analyserat och utvärderat dem kommer du att kunna bestämma vilka du ska vidta åtgärder mot. Naturligtvis vår affärskontinuitetshantering verktyg kan hjälpa dig att analysera och bedöma de utmaningar din organisation står inför och förenkla att dela och motivera dina slutsatser.
Du har tittat på hur en kris kan påverka och skapa risker för din organisation. Du har förstått arten av dessa effekter och risker, och du har kartlagt en tidslinje för att hantera dem. Nu behöver du planera ut exakt vad du ska göra innan krisen slår till, medan du är mitt i den och efter att den är över.
Du måste utforska möjliga strategier och lösningar för att hantera det. De ska:
Gör sedan ditt val och leta efter en som bäst hjälper dig att fortsätta eller starta om de nyckelaktiviteter du har identifierat inom de tidsramar du har angett. Den måste också ta hänsyn till de risknivåer som din organisation är nöjd med, plus eventuella andra relevanta kostnader eller fördelar.
Och naturligtvis behöver du rätt resurser för att implementera de lösningar du väljer. Enskilda organisationer kan ha väldigt olika behov. Du måste börja med att definiera de personer som du behöver dra på. När du vet det kan du planera:
Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.
Du är nu redo att implementera och underhålla din affärskontinuitetslösning, redo för omedelbar implementering i kristider.
Det innebär att planera alla din organisations processer för störningshantering och sätta tydliga kriterier för att utlösa dem. Dessa processer måste matcha det strategiska tänkande och lösningsutveckling du redan har gjort. De behöver också ett svarsramverk för att se till att din organisation delar varningar och feedback i rätt tid med alla relevanta intressenter.
Din affärskontinuitetslösning måste:
Dina störningshanteringsteam måste också vara redo att gå. De måste alla bestå av tydligt identifierad personal med fullt stöd dokumenterade rutiner. Det hjälper dem att bedöma arten, storleken och potentiella konsekvenserna av en kris, och sedan agera därefter genom att:
Bra kommunikation är nyckeln till effektiv krishantering. Du måste tänka igenom hur du kommer att kommunicera i utmanande situationer, kartlägga både interna och externa kommunikationsvägar och se till att all rätt utrustning finns tillgänglig för att stödja dem.
Du måste också se till att all ingående och utgående kommunikation loggas korrekt och – där det är relevant – besvaras. Din bredare kommunikationsstrategi måste inkludera allt från att engagera sig med räddningspersonal till att hantera media. Du kanske också måste se till att kommunikationen mellan alla svarande organisationer hanteras korrekt.
Och naturligtvis måste du inkludera allt detta och mer i din organisations affärskontinuitetsplaner och -procedurer. ISO 22301-standarden går in mycket i detalj om exakt vad de måste innehålla, i avsnitt 8.4.4 och 8.4.5. Vi rekommenderar att du går igenom deras krav så noggrant som möjligt för att se till att dina planer matchar deras mycket tydliga och specifika förväntningar.
Standarden ber dig att sätta upp och köra ett regelbundet utvärderings- och testprogram för att bekräfta tillförlitligheten hos dina affärskontinuitetsplaner och -lösningar. Det innebär att genomföra aktiviteter och bedömningar som ligger i linje med dina affärskontinuitetsmål och fokuserar på välstrukturerade, realistiska scenarier med tydligt definierade prioriteringar och mål.
De måste ha en positiv inverkan på ditt BCMS. De måste bygga relationer, kunnande och kompetens hos alla team som är involverade i det, och leda till konstruktiva, grundliga utvärderingar och feedback som förbättras Det. Med tiden bör de både validera ditt BCMS i dess nuvarande tillstånd och hjälpa dig att förbättra och utveckla det. Den sista punkten är avgörande – du måste se till att du registrerar och agerar på allt du lär dig från övningarna du kör.
En skräddarsydd praktisk session utifrån dina behov och mål
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
Denna klausul bygger ut från den förra och beskriver hur du bör utvärdera varje aspekt av ditt BCMS och varje faktor som kan påverka den.
Det ger dig en mall för en grundlig, regelbunden omvärdering av allt arbete du har gjort. Du måste titta på varje aspekt av ditt BCMS:s svar på din organisations behov och problem, dess relation med eventuella externa partners och leverantörer och dess överensstämmelse med alla relevanta policyer, förordningar och branschnormer. Som alltid råder den dig också att hålla ett öga på din dokumentation och dina rutiner och uppdatera dem snabbt och effektivt.
Du måste planera att göra det regelbundet. Du bör också omvärdera ditt BCMS efter eventuella incidenter eller aktiveringar, eller när betydande förändringar i din organisation eller affärsmiljö inträffar.
ISO 22301:2019 implementerar ramverket, grundläggande text och definitioner av Bilaga L, tidigare bilaga SL. Bilaga L fastställer ett ramverk på hög nivå för ISO ledningssystem standarder. Bilagan utarbetades för att införliva en liknande kärntext och gemensamma terminologi och begrepp.
Förutom klausul 8 tar bilaga L-kraven upp många av samma områden som kärnkraven i ISO 27001, som täcks av avsnitt 4.1 till 10.2.
