Zodra u uw plan heeft gepland BCMS, moet je nadenken over hoe het in de praktijk zal werken. In artikel 8 worden alle praktische acties beschreven die u moet ondernemen om ervoor te zorgen dat uw BCMS naar behoren functioneert. Het is een van de meest gedetailleerde en belangrijke secties van de standaard.
Er wordt u gevraagd om potentiële zakelijke bedreigingen en gevaren tot in detail te onderzoeken. U zult moeten overwegen hoe zij uw organisatie kunnen ontwrichten en die denkwijze moeten gebruiken om een breed scala aan oplossingen vorm te geven continuïteitsmanagement details. Vervolgens wordt beschreven hoe u uw BCMS regelmatig kunt testen en de voortdurende effectiviteit ervan kunt evalueren.
U moet de processen definiëren, uitvoeren, volgen en documenteren die ervoor zorgen dat uw BCMS:
U moet eventuele geplande wijzigingen aan uw computer zorgvuldig in de gaten houden ISMS en let op eventuele ongeplande problemen, zodat u snel kunt handelen en eventuele problemen kunt voorkomen. Je moet dit mondiaal doen, Houd uw supply chain in de gaten en alle uitbestede processen, evenals de interne processen van uw organisatie.
U moet precies begrijpen hoe bedrijfsverstoring kan optreden beïnvloeden en creëren risico’s voor uw organisatie. Dat betekent het opzetten en uitvoeren van uitgebreide zakelijke impact analyse en risicobeoordeling procedures. U bent vrij om te kiezen wat u als eerste uitvoert. Uw bedrijfsimpactanalyse helpt u bij het vaststellen van de prioriteiten en vereisten voor bedrijfscontinuïteit. U moet beginnen met het definiëren van de gevolgen die problemen kunnen veroorzaken voor uw organisatie. Vervolgens moet u nadenken over de specifieke activiteiten die ze zouden kunnen treffen en een tijdschema in kaart brengen voor de problemen die ze zouden kunnen veroorzaken. Dat tijdschema zal u helpen precies te beoordelen wanneer die problemen onaanvaardbaar worden.
De periode tot dat moment is de maximaal toelaatbare verstoringsperiode, oftewel MTPD. Dat is de tijd waarboven geen herstel meer mogelijk is. Mogelijk heeft u één MTPD voor uw hele organisatie, of meerdere voor verschillende producten of diensten. Zodra dat is gedefinieerd, kunt u een specifieke hersteltijddoelstelling (RTO) instellen. Dat is het punt in de toekomst waarop u weer aan de slag kunt. U moet ook uw herstelpuntdoelstelling (RPO) definiëren. Dat is het punt in het verleden waarnaar u wilt herstellen, of (om het anders te zeggen) uw laatste bevestigde staat van integriteit. Ook hier geldt dat u mogelijk een of meerdere RTO’s en RPO’s heeft, afhankelijk van de aard van uw organisatie en haar producten en diensten.
De norm verwijst u naar ISO 31000 voor begeleiding bij risicobeheer. U moet inzicht hebben in de risico's die verstoring kan veroorzaken voor de belangrijkste activiteiten en middelen van uw organisatie. Nadat u ze heeft geanalyseerd en geëvalueerd, kunt u beslissen tegen welke u actie moet ondernemen. Natuurlijk, onze Bedrijfszekerheidsmanagement tools kunnen u helpen bij het analyseren en beoordelen van de uitdagingen waarmee uw organisatie wordt geconfronteerd, en het delen en rechtvaardigen van uw conclusies vereenvoudigen.
U hebt gekeken naar de gevolgen en risico's van een crisis voor uw organisatie. U hebt de aard van deze gevolgen en risico's begrepen en u hebt een tijdlijn uitgestippeld voor de aanpak ervan. Nu moet u precies plannen wat u gaat doen voordat de crisis toeslaat, terwijl u er middenin zit en nadat de crisis voorbij is.
Je moet mogelijke strategieën en oplossingen onderzoeken om ermee om te gaan. Zij zullen:
Maak vervolgens uw keuze en zoek er een die u het beste helpt de belangrijkste activiteiten die u heeft geïdentificeerd binnen de door u gestelde termijnen voort te zetten of opnieuw te starten. Het moet ook rekening houden met de risiconiveaus waarmee uw organisatie tevreden is, plus eventuele andere relevante kosten of baten.
En natuurlijk hebt u de juiste middelen nodig om de door u gekozen oplossingen te implementeren. Individuele organisaties kunnen zeer uiteenlopende behoeften hebben. U moet beginnen met het definiëren van de mensen waaruit u moet putten. Als je dat eenmaal weet, kun je het volgende plannen:
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.
U bent nu klaar om uw bedrijfscontinuïteitsoplossing te implementeren en te onderhouden, klaar voor onmiddellijke inzet in tijden van crisis.
Dat betekent dat u alle verstoringsbeheerprocessen van uw organisatie moet plannen en duidelijke criteria moet stellen om deze in gang te zetten. Deze processen moeten aansluiten bij het strategische denken en de oplossingsontwikkeling die u al heeft gedaan. Ze hebben ook een reactiekader nodig om ervoor te zorgen dat uw organisatie tijdig waarschuwingen en feedback deelt met alle relevante belanghebbenden.
Your oplossing voor bedrijfscontinuïteit moet:
Uw disruptiebeheerteams moeten ook klaar zijn om aan de slag te gaan. Ze moeten allemaal bestaan uit duidelijk geïdentificeerd personeel, volledig ondersteund door gedocumenteerde procedures. Dat zal hen helpen de aard, omvang en potentiële gevolgen van een crisis in te schatten, en vervolgens dienovereenkomstig te handelen door:
Goede communicatie is de sleutel tot een effectieve crisisrespons. U moet nadenken over de manier waarop u in uitdagende situaties communiceert, waarbij u zowel interne als externe communicatieroutes in kaart brengt en ervoor zorgt dat de juiste apparatuur beschikbaar is om deze te ondersteunen.
U moet er ook voor zorgen dat alle inkomende en uitgaande communicatie correct wordt geregistreerd en – waar relevant – wordt beantwoord. Uw bredere communicatiestrategie moet alles omvatten, van het contact met hulpverleners tot het omgaan met de media. Mogelijk moet u er ook voor zorgen dat de communicatie tussen de reagerende organisaties goed wordt beheerd.
En natuurlijk moet u dit alles en nog veel meer opnemen in de bedrijfscontinuïteitsplannen en -procedures van uw organisatie. De ISO 22301-norm gaat uitgebreid in op wat ze precies moeten bevatten, in de artikelen 8.4.4 en 8.4.5. We raden u aan hun vereisten zo zorgvuldig mogelijk door te nemen om er zeker van te zijn dat uw plannen overeenkomen met hun zeer duidelijke en specifieke verwachtingen.
De standaard vraagt u om een regelmatig evaluatie- en testprogramma op te zetten en uit te voeren om de betrouwbaarheid van uw bedrijfscontinuïteitsplannen en -oplossingen te bevestigen. Dat betekent dat u activiteiten en beoordelingen uitvoert die aansluiten bij uw bedrijfscontinuïteitsdoelstellingen en zich richten op goed gestructureerde, realistische scenario's met duidelijk gedefinieerde prioriteiten en doelen.
Ze moeten een positieve impact hebben op uw BCMS. Ze moeten de relaties, kennis en competentie opbouwen van alle teams die erbij betrokken zijn, en leiden tot constructief en grondig evaluaties en feedback die verbeteren Het. Na verloop van tijd moeten ze uw BCMS in de huidige staat valideren en u helpen deze te verbeteren en te ontwikkelen. Dat laatste punt is cruciaal: je moet ervoor zorgen dat je alles wat je leert van de oefeningen die je doet, vastlegt en ernaar handelt.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
Deze clausule bouwt voort op de vorige en beschrijft hoe u elk aspect van uw BCMS en elke factor die er mogelijk invloed op zou kunnen hebben, moet evalueren.
Het biedt u een sjabloon voor een grondige, regelmatige herevaluatie van al het werk dat u hebt gedaan. U moet elk aspect van de reactie van uw BCMS op de behoeften en problemen van uw organisatie bekijken relatie met eventuele externe partners en leveranciers en de naleving ervan met alle relevante beleidslijnen, regelgeving en industrienormen. Zoals altijd adviseert zij u ook om uw documentatie en procedures nauwlettend in de gaten te houden en deze snel en efficiënt bij te werken.
U moet dit op regelmatige basis plannen. U moet uw BCMS ook opnieuw evalueren na eventuele incidenten of activeringen, of wanneer zich aanzienlijke wijzigingen in uw organisatie of zakelijke omgeving voordoen.
ISO 22301:2019 implementeert het raamwerk, de fundamentele tekst en definities van Bijlage L, voorheen bijlage SL. Bijlage L stelt een raamwerk op hoog niveau voor ISO vast beheersysteem normen. De bijlage is opgesteld met het oog op het opnemen van een vergelijkbare kerntekst en gemeenschappelijke terminologie en concepten.
Met uitzondering van artikel 8 behandelen de vereisten van bijlage L veel van dezelfde gebieden als de kernvereisten van ISO 27001, behandeld in paragraaf 4.1 tot en met 10.2.
