Krav 6 viser dig, hvordan du tænker igennem risici og muligheder, planlæg dit svar på dem og sæt dine forretningskontinuitetsmål. Den beder dig også om at definere, hvordan du vil foretage ændringer i din BCMS Selv.
Dette afsnit af ISO 22301 specifikationen hjælper med at gennemtænke de risici eller muligheder, der kan hindre eller hjælpe dig, mens du sikrer dig, at dit BCMS:
For at kunne arbejde gennem denne del af ISO-processen, skal du trække på din tidligere tankegang i paragraf 4. Du skal nu klarlægge de risici og muligheder, der følger af de juridiske og regulatoriske krav, interessepartsspørgsmål og BCMS-omfang, du definerede der.
Du bliver nødt til at planlægge, hvordan du vil identificere, vurdere og behandle disse risici og muligheder. Så bliver du nødt til at tænke igennem, hvordan du vil integrere eventuelle resulterende handlinger i dit BCMS. Og du skal også se fremad og specificere, hvordan du vil evaluere effektiviteten af disse handlinger og overvåge dem over tid.
Vi anbefaler at dokumentere din risikoidentifikation, vurderings- og behandlingsprocesser for at vise, hvordan du vil håndtere hver ny risiko som det kommer frem. Du skal planlægge enten at tolerere hver risiko, afslutte den eller overføre den til en anden part. Du skal også bevise, at dine risikovurderinger er konsistente, valide og producerer 'sammenlignelige resultater', hvilket betyder, at du er klar over din risikometodologi.
Du skal også tildele hver risiko til en risikoejer i din organisation. De bliver nødt til at bestemme niveauet, vurdere en 'realistisk sandsynlighed' for, at det sker og vurdere de mulige konsekvenser, hvis det rent faktisk bliver en realitet. Når det er gjort, hver risiko skal prioriteres til risikobehandling og styres i henhold til dine dokumenterede processer.
Du ved sikkert allerede, hvorfor du vil udvikle dit BCMS og har nogle strategiske mål på topniveau, der fortæller dig, hvordan succes ser ud.
Nu skal du indstille din organisations forretningskontinuitetsmål og sørg for, at de stemmer overens med virksomhedens forretningskontinuitetspolitik. Disse mål skal også være målbare (hvor det er muligt), overvåges, kommunikeres og forstås og altid holdes ajour. Og du skal selvfølgelig dokumentere dem fuldt ud. Din forretningskontinuitetsmål skal også tage hensyn til kravene i punkt 4.1 og 4.2. Det betyder:
Når du har færdiggjort dine forretningskontinuitetsmål, skal du beslutte, hvilke handlinger du skal tage, og hvilke værktøjer du skal bruge for at nå dem. Du skal også tildele ansvar og indstille timings for og beslutte, hvordan du vil evaluere hvert mål.
Du skal planlægge, hvordan du vil foretage ændringer i dit BCMS, og derefter sørge for at følge denne plan, når din organisation skal ændre den. Du skal følge din plan, når du foretager nogen eller alle ændringer, inklusive dem, der er nævnt i paragraf 10 i ISO-definitionerne.
Du skal også tænke igennem:
ISO 22301:2019 implementerer rammen, grundlæggende tekst og definitioner af Bilag L, tidligere bilag SL. Bilag L etablerer en ramme på højt niveau for ISO styringssystem standarder. Bilaget blev udarbejdet for at inkorporere en lignende kernetekst og fælles terminologi og begreber.
Bortset fra paragraf 8 omhandler kravene i bilag L mange af de samme områder som kernekrav i ISO 27001, dækket af afsnit 4.1 til og med 10.2.
En skræddersyet hands-on session baseret på dine behov og mål
