Eis 6 laat zien hoe je moet nadenken risico's en kansen, plan uw reactie hierop en stel uw bedrijfscontinuïteitsdoelstellingen vast. Er wordt u ook gevraagd om te definiëren hoe u eventuele wijzigingen in uw BCMS zelf.
Dit gedeelte van de ISO 22301 specificatie helpt bij het nadenken over de risico's of kansen die u zouden kunnen hinderen of helpen, terwijl u ervoor zorgt dat uw BCMS:
Om dit deel van het ISO-proces succesvol te doorlopen, moet u voortbouwen op uw eerdere gedachten in hoofdstuk 4. U gaat nu de risico's en kansen verduidelijken die voortkomen uit de wettelijke en regelgevende vereisten. kwesties van geïnteresseerde partijen en BCMS-bereik dat u daar hebt gedefinieerd.
Je moet plannen hoe je je gaat identificeren, deze risico's in kaart te brengen en te behandelen en kansen. Vervolgens moet u nadenken over hoe u de daaruit voortvloeiende acties in uw BCMS gaat integreren. En je moet ook vooruit kijken en aangeven hoe je dat gaat doen de effectiviteit van die acties evalueren en monitoren ze in de loop van de tijd.
Wij adviseren u uw risico-identificatie te documenteren, beoordelings- en behandelingsprocessen om te laten zien hoe u met elk nieuw risico omgaat zoals het opkomt. U moet plannen maken om elk risico te tolereren, te beëindigen of over te dragen aan een andere partij. U moet ook bewijzen dat uw risicobeoordelingen consistent en valide zijn en 'vergelijkbare resultaten' opleveren. Dit betekent dat u duidelijk moet zijn over uw risicomethodologie.
Ook moet u elk risico toewijzen aan een risico-eigenaar binnen uw organisatie. Ze zullen het niveau ervan moeten bepalen, een ‘realistische waarschijnlijkheid’ moeten inschatten dat dit zal gebeuren en de mogelijke gevolgen moeten inschatten als het daadwerkelijk werkelijkheid wordt. Zodra dat is gebeurd, ieder risico moet prioriteit krijgen bij risicobehandeling en beheerd volgens uw gedocumenteerde processen.
U weet waarschijnlijk al waarom u uw BCMS wilt ontwikkelen en heeft een aantal strategische doelstellingen op het hoogste niveau die u vertellen hoe succes eruit ziet.
Nu moet u die van uw organisatie instellen bedrijfscontinuïteitsdoelstellingen en ervoor te zorgen dat ze aansluiten bij het bedrijfscontinuïteitsbeleid. Die doelstellingen moeten ook meetbaar zijn (waar mogelijk), gemonitord, gecommuniceerd en begrepen, en altijd actueel worden gehouden. En natuurlijk moet je ze volledig documenteren. Jouw doelstellingen voor bedrijfscontinuïteit moet ook rekening houden met de vereisten uiteengezet in de artikelen 4.1 en 4.2. Dat betekent:
Zodra u uw doelstellingen voor bedrijfscontinuïteit heeft bepaald, moet u beslissen welke acties u moet ondernemen en welke hulpmiddelen u moet gebruiken om deze te bereiken. U moet ook de verantwoordelijkheid toewijzen en timings instellen voor, en beslissen hoe u elke doelstelling gaat evalueren.
U moet plannen hoe u wijzigingen gaat aanbrengen in uw BCMS, en zorg ervoor dat u dat plan volgt wanneer uw organisatie dit moet wijzigen. U moet uw plan volgen wanneer u enige of alle wijzigingen aanbrengt, inclusief de wijzigingen vermeld in clausule 10 van de ISO-definities.
Je zult ook moeten nadenken over:
ISO 22301:2019 implementeert het raamwerk, de fundamentele tekst en definities van Bijlage L, voorheen bijlage SL. Bijlage L stelt een raamwerk op hoog niveau voor ISO vast beheersysteem normen. De bijlage is opgesteld met het oog op het opnemen van een vergelijkbare kerntekst en gemeenschappelijke terminologie en concepten.
Met uitzondering van artikel 8 behandelen de vereisten van bijlage L veel van dezelfde gebieden als de kernvereisten van ISO 27001, behandeld in paragraaf 4.1 tot en met 10.2.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
