Sodra jy jou beplan het BCMS, moet jy deurdink hoe dit in die praktyk sal werk. Klousule 8 beklemtoon al die praktiese aksies wat jy sal moet neem om seker te maak dat jou BCMS funksioneer soos dit moet. Dit is een van die mees gedetailleerde en belangrikste afdelings van die standaard.
Dit vra jou om in 'n mate deur potensiële besigheidsbedreigings en -gevare te werk. Jy sal moet oorweeg hoe hulle jou organisasie kan ontwrig en daardie denke gebruik om 'n wye reeks van kontinuïteitsbestuur besonderhede. Dan beskryf dit hoe om jou BCMS gereeld te toets en die deurlopende doeltreffendheid daarvan te evalueer.
Jy sal die prosesse moet definieer, uitvoer, opspoor en dokumenteer wat seker maak dat jou BCMS:
Jy moet enige beplande veranderinge aan jou ISMS en pasop vir enige onbeplande, sodat jy vinnig kan optree om enige probleme wat dit kan veroorsaak te voorkom. Jy moet dit wêreldwyd doen, hou u voorsieningsketting dop en enige uitgekontrakteerde prosesse sowel as jou organisasie se interne prosesse.
Jy sal presies moet verstaan hoe besigheid ontwrigting kan beïnvloed en skep risiko's vir jou organisasie. Dit beteken die opstel en uitvoer van omvattende besigheidsimpak ontleding en risikobepaling prosedures. Jy is vry om te kies watter om eerste uit te voer. Jou besigheidsimpakanalise sal jou help om besigheidskontinuïteitsprioriteite en -vereistes vas te stel. Jy moet begin deur die impak te definieer wat probleme vir jou organisasie kan veroorsaak. Dan sal jy moet dink oor die spesifieke aktiwiteite wat hulle kan tref en 'n tydskaal moet uitstippel vir die probleme wat hulle kan veroorsaak. Daardie tydskaal sal jou help om presies te bepaal wanneer daardie probleme onaanvaarbaar word.
Die tydperk tot op daardie oomblik is die maksimum aanvaarbare tydperk van ontwrigting, of MTPD. Dit is die tyd waarna geen herstel moontlik is nie. Jy het dalk een MTPD vir jou hele organisasie, of verskeie vir verskillende produkte of dienste. Sodra dit gedefinieer is, kan jy 'n spesifieke hersteltyddoelwit (RTO) stel. Dit is die punt in die toekoms waarop jy weer aan die gang is. Jy sal ook jou herstelpuntdoelwit, of RPO, moet definieer. Dit is die punt in die verlede waarheen jy wil herstel, of (om dit anders te stel) jou laaste bevestigde toestand met integriteit. Weereens, jy kan een of meer RTO's en RPO's hê, afhangende van die aard van jou organisasie en sy produkte en dienste.
Die standaard wys jou na ISO 31000 vir leiding oor risikobestuur. Jy sal die risiko's moet verstaan wat ontwrigting vir jou organisasie se belangrikste aktiwiteite en hulpbronne kan skep. Sodra jy dit ontleed en geëvalueer het, sal jy kan besluit teen watter om op te tree. Natuurlik, ons besigheid kontinuïteit bestuur gereedskap kan jou help om die uitdagings wat jou organisasie in die gesig staar te ontleed en te assesseer en om jou gevolgtrekkings te deel en te regverdig.
Jy het gekyk na hoe 'n krisis 'n impak kan hê en risiko's vir jou organisasie kan skep. Jy het die aard van daardie impakte en risiko's verstaan, en jy het 'n tydlyn uitgestippel vir die hantering daarvan. Nou moet jy presies beplan wat om te doen voor die krisis toeslaan, terwyl jy in die middel daarvan is en nadat dit verby is.
Jy moet moontlike strategieë en oplossings vir die hantering daarvan ondersoek. Hulle moet:
Maak dan jou keuse en soek een wat jou die beste help om voort te gaan of die sleutelaktiwiteite wat jy geïdentifiseer het binne die tydraamwerke wat jy gestel het, te herbegin. Dit moet ook rekening hou met die risikovlakke waarmee u organisasie tevrede is, plus enige ander relevante koste of voordele.
En natuurlik het jy die regte hulpbronne nodig om die oplossings wat jy kies te implementeer. Individuele organisasies kan baie verskillende behoeftes hê. Jy moet begin deur die mense te definieer waarop jy moet teken. Sodra jy dit weet, kan jy beplan:
Ons het gevoel soos ons het
die beste van twee wêrelde. Ons was
ons kan gebruik
bestaande prosesse,
& die Aanneem, Pas aan
inhoud het ons nuut gegee
diepte aan ons ISMS.
Jy is nou gereed om jou besigheidskontinuïteitsoplossing te implementeer en in stand te hou, gereed vir onmiddellike ontplooiing in tye van krisis.
Dit beteken om al jou organisasie se ontwrigtingbestuursprosesse uit te beplan en duidelike kriteria te stel om dit te aktiveer. Daardie prosesse moet ooreenstem met die strategiese denke en oplossingsontwikkeling wat jy reeds gedoen het. Hulle sal ook 'n reaksieraamwerk nodig hê om seker te maak dat jou organisasie tydige waarskuwings en terugvoer met alle relevante belanghebbendes deel.
jou besigheid kontinuïteit oplossing moet:
Jou ontwrigting bestuurspanne moet ook gereed wees om te gaan. Hulle moet almal bestaan uit duidelik geïdentifiseerde personeel, ondersteun deur ten volle gedokumenteerde prosedures. Dit sal hulle help om die aard, grootte en potensiële gevolge van enige krisis te evalueer, en dan dienooreenkomstig op te tree deur:
Goeie kommunikasie is 'n sleutel tot effektiewe krisisreaksie. Jy moet deurdink hoe jy in uitdagende situasies sal kommunikeer, beide interne en eksterne kommunikasieroetes uitstippel, en seker maak dat al die regte toerusting beskikbaar is om hulle te ondersteun.
Jy sal ook moet seker maak dat alle inkomende en uitgaande kommunikasie behoorlik aangeteken is en – waar relevant – daarop gereageer word. Jou breër kommunikasiestrategie moet alles insluit van kontak met noodreaksiepersoneel tot die hantering van die media. Jy moet dalk ook seker maak dat kommunikasie tussen enige organisasies wat reageer, behoorlik bestuur word.
En natuurlik sal jy dit alles en meer in jou organisasie se besigheidskontinuïteitsplanne en -prosedures moet insluit. Die ISO 22301-standaard gaan in groot besonderhede in oor presies wat hulle moet bevat, in klousules 8.4.4 en 8.4.5. Ons beveel aan om hul vereistes so noukeurig as moontlik deur te gaan om seker te maak dat jou planne ooreenstem met hul baie duidelike en spesifieke verwagtinge.
Die standaard vra jou om 'n gereelde evaluering- en toetsprogram op te stel en uit te voer om die betroubaarheid van jou besigheidskontinuïteitsplanne en -oplossings te bevestig. Dit beteken om aktiwiteite en assesserings uit te voer wat ooreenstem met jou besigheidskontinuïteitsdoelwitte en fokus op goed gestruktureerde, realistiese scenario's met duidelik gedefinieerde prioriteite en doelwitte.
Hulle moet 'n positiewe impak op jou BCMS hê. Hulle moet die verhoudings, kennis en bevoegdheid van alle spanne wat daarby betrokke is bou, en lei tot konstruktiewe, deeglike evaluasies en terugvoer wat verbeter Dit. Met verloop van tyd behoort hulle albei jou BCMS in sy huidige toestand te bekragtig en jou te help om dit te verbeter en te ontwikkel. Daardie laaste punt is van kardinale belang – jy moet seker maak dat jy enigiets wat jy leer uit die oefeninge wat jy hardloop, aanteken en daarop reageer.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Ons is so bly dat ons hierdie oplossing gevind het, dit het alles makliker inmekaar laat pas.
Hierdie klousule bou voort uit die laaste een, en beskryf hoe jy elke aspek van jou BCMS en elke faktor wat dit moontlik kan beïnvloed, moet evalueer.
Dit gee jou 'n sjabloon vir 'n deeglike, gereelde herevaluering van al die werk wat jy gedoen het. Jy sal moet kyk na elke aspek van jou BCBS se reaksie op jou organisasie se behoeftes en kwessies, sy verhouding met enige eksterne vennote en verskaffers en die nakoming daarvan aan alle relevante beleide, regulasies en industrienorme. Soos altyd, raai dit jou ook aan om jou dokumentasie en prosedures fyn dop te hou en dit vinnig en doeltreffend op te dateer.
Jy moet beplan om dit op 'n gereelde basis te doen. Jy moet ook jou BCMS herevalueer na enige voorvalle of aktiverings, of wanneer beduidende veranderinge aan jou organisasie of besigheidsomgewing plaasvind.
ISO 22301:2019 implementeer die raamwerk, fundamentele teks en definisies van Bylae L, voorheen aanhangsel SL. Bylae L stel 'n hoëvlakraamwerk vir ISO daar bestuurstelsel standaarde. Die Bylae is opgestel om 'n soortgelyke kernteks en algemene terminologie en konsepte in te sluit.
Behalwe vir Klousule 8, spreek die Aanhangsel L-vereistes baie van dieselfde gebiede aan as die kernvereistes van ISO 27001, gedek in Afdeling 4.1 tot 10.2.