Når du har planlagt din BCMS, skal du tænke igennem, hvordan det vil fungere i praksis. Klausul 8 fremhæver alle de praktiske handlinger, du skal tage for at sikre, at dit BCMS fungerer, som det skal. Det er en af de mest detaljerede og vigtige dele af standarden.
Den beder dig om at arbejde gennem potentielle forretningstrusler og farer i nogle detaljer. Du bliver nødt til at overveje, hvordan de kan forstyrre din organisation og bruge den tankegang til at uddybe en bred vifte af kontinuitetsstyring detaljer. Derefter beskriver den, hvordan du regelmæssigt tester dit BCMS og evaluerer dets løbende effektivitet.
Du skal definere, udføre, spore og dokumentere de processer, der sikrer, at dit BCMS:
Du skal nøje overvåge eventuelle planlagte ændringer af din ismer og pas på eventuelle uplanlagte, så du kan handle hurtigt for at forhindre eventuelle problemer, de måtte forårsage. Du skal gøre det globalt, holde øje med din forsyningskæde og eventuelle outsourcede processer samt din organisations interne.
Du bliver nødt til at forstå præcis, hvordan forretningsforstyrrelser kunne påvirke og skabe risici for din organisation. Det betyder opsætning og drift af omfattende forretningspåvirkning analyse og risikovurdering procedurer. Du kan frit vælge, hvad du vil udføre først. Din forretningskonsekvensanalyse hjælper dig med at fastlægge prioriteter og krav til forretningskontinuitet. Du skal starte med at definere de påvirkninger, der kan give problemer for din organisation. Derefter bliver du nødt til at gennemtænke de specifikke aktiviteter, de kan ramme, og kortlægge en tidsskala for de problemer, de kan forårsage. Denne tidsskala vil hjælpe dig med at vurdere præcis, hvornår disse problemer bliver uacceptable.
Perioden op til det tidspunkt er den maksimalt tolerable afbrydelsesperiode eller MTPD. Det er den tid, hvorefter ingen bedring er mulig. Du har måske en MTPD for hele din organisation eller flere for forskellige produkter eller tjenester. Når det er defineret, kan du indstille et specifikt restitutionstidsmål (RTO). Det er det punkt i fremtiden, hvor du er oppe at køre igen. Du skal også definere dit recovery point-mål eller RPO. Det er det punkt i fortiden, som du ønsker at komme dig til, eller (for at sige det på en anden måde) din sidste bekræftede tilstand med integritet. Igen kan du have en eller flere RTO'er og RPO'er, afhængigt af arten af din organisation og dens produkter og tjenester.
Standarden peger dig mod ISO 31000 for vejledning om risikostyring. Du bliver nødt til at forstå de risici, som disruption kan skabe for din organisations vigtigste aktiviteter og ressourcer. Når du har analyseret og evalueret dem, vil du være i stand til at beslutte, hvilke du skal gribe ind over for. Selvfølgelig vores styring af forretningskontinuitet værktøjer kan hjælpe dig med at analysere og vurdere de udfordringer, din organisation står over for og forenkle deling og begrundelse af dine konklusioner.
Du har set på, hvordan en krise kan påvirke og skabe risici for din organisation. Du har forstået arten af disse påvirkninger og risici, og du har kortlagt en tidslinje for håndtering af dem. Nu skal du planlægge præcis, hvad du skal gøre, før krisen rammer, mens du er midt i den, og efter den er overstået.
Du skal udforske mulige strategier og løsninger til at håndtere det. De skal:
Træf derefter dit valg og led efter en, der bedst hjælper dig med at fortsætte eller genstarte de nøgleaktiviteter, du har identificeret inden for de tidsrammer, du har sat. Den skal også tage højde for de risikoniveauer, din organisation er tilfreds med, plus eventuelle andre relevante omkostninger eller fordele.
Og selvfølgelig skal du bruge de rigtige ressourcer til at implementere de løsninger, du vælger. Individuelle organisationer kan have meget forskellige behov. Du skal starte med at definere de personer, du skal trække på. Når du ved det, kan du planlægge:
Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.
Du er nu klar til at implementere og vedligeholde din forretningskontinuitetsløsning, klar til øjeblikkelig implementering i krisetider.
Det betyder at planlægge alle din organisations disruptionshåndteringsprocesser og opstille klare kriterier for at udløse dem. Disse processer skal matche med den strategiske tænkning og løsningsudvikling, du allerede har lavet. De har også brug for en responsramme for at sikre, at din organisation deler rettidige advarsler og feedback med alle relevante interessenter.
Din forretningskontinuitetsløsning skal:
Dine disruption management teams skal også være klar til at gå. De skal alle bestå af klart identificeret personale, støttet af fuldt ud dokumenterede procedurer. Det vil hjælpe dem med at vurdere karakteren, størrelsen og potentielle konsekvenser af enhver krise, og derefter handle i overensstemmelse hermed ved at:
God kommunikation er nøglen til effektiv kriseberedskab. Du skal gennemtænke, hvordan du vil kommunikere i udfordrende situationer, kortlægge både interne og eksterne kommunikationsruter og sørge for, at alt det rigtige udstyr er tilgængeligt til at understøtte dem.
Du skal også sikre dig, at al indgående og udgående kommunikation er korrekt logget og – hvor det er relevant – reageret på. Din bredere kommunikationsstrategi skal omfatte alt fra at engagere sig med beredskabspersonale til at håndtere medierne. Du skal muligvis også sørge for, at kommunikationen mellem de reagerende organisationer administreres korrekt.
Og selvfølgelig skal du inkludere alt dette og mere i din organisations forretningskontinuitetsplaner og -procedurer. ISO 22301-standarden går meget i detaljer om præcis, hvad de skal indeholde, i paragraf 8.4.4 og 8.4.5. Vi vil anbefale at gennemgå deres krav så omhyggeligt som muligt for at sikre, at dine planer stemmer overens med deres meget klare og specifikke forventninger.
Standarden beder dig om at opsætte og køre et regelmæssigt evaluerings- og testprogram for at bekræfte pålideligheden af dine forretningskontinuitetsplaner og -løsninger. Det betyder at udføre aktiviteter og vurderinger, der stemmer overens med dine forretningskontinuitetsmål og fokuserer på velstrukturerede, realistiske scenarier med klart definerede prioriteter og mål.
De skal have en positiv indvirkning på dit BCMS. De skal opbygge relationer, knowhow og kompetence hos alle de involverede teams og føre til konstruktiv, grundig evalueringer og feedback, der forbedres det. Over tid bør de både validere dit BCMS i dets nuværende tilstand og hjælpe dig med at forbedre og udvikle det. Det sidste punkt er afgørende - du skal sørge for at registrere og handle på alt, hvad du lærer af de øvelser, du løber.
En skræddersyet hands-on session baseret på dine behov og mål
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
Denne klausul bygger ud fra den sidste og beskriver, hvordan du bør evaluere alle aspekter af dit BCMS og alle faktorer, der muligvis kan påvirke det.
Det giver dig en skabelon til en grundig, regelmæssig re-evaluering af alt det arbejde, du har udført. Du bliver nødt til at se på alle aspekter af dit BCMS' svar på din organisations behov og problemer forhold til eventuelle eksterne partnere og leverandører og dets overholdelse af alle relevante politikker, regler og industrinormer. Som altid råder det dig også til at holde et vågent øje med din dokumentation og procedurer og opdatere dem hurtigt og effektivt.
Du skal planlægge at gøre det med jævne mellemrum. Du bør også revurdere dit BCMS efter eventuelle hændelser eller aktiveringer, eller når der sker væsentlige ændringer i din organisation eller forretningsmiljø.
ISO 22301:2019 implementerer rammen, grundlæggende tekst og definitioner af Bilag L, tidligere bilag SL. Bilag L etablerer en ramme på højt niveau for ISO styringssystem standarder. Bilaget blev udarbejdet for at inkorporere en lignende kernetekst og fælles terminologi og begreber.
Bortset fra paragraf 8 omhandler kravene i bilag L mange af de samme områder som kernekrav i ISO 27001, dækket af afsnit 4.1 til og med 10.2.