Kun olet suunnitellut omasi BCMS, sinun on mietittävä, miten se toimii käytännössä. Kohdassa 8 korostetaan kaikkia käytännön toimia, jotka sinun on tehtävä varmistaaksesi, että BCMS-järjestelmäsi toimii kuten pitää. Se on yksi standardin yksityiskohtaisimmista ja tärkeimmistä osista.
Se pyytää sinua käsittelemään mahdollisia liiketoimintauhkia ja vaaroja yksityiskohtaisesti. Sinun on pohdittava, kuinka ne voivat häiritä organisaatiotasi, ja käytettävä tätä ajattelua monien erilaisten asioiden täydentämiseen jatkuvuuden hallinta yksityiskohdat. Sitten siinä kuvataan, kuinka BCMS-järjestelmä testataan säännöllisesti ja arvioidaan sen jatkuvaa tehokkuutta.
Sinun on määritettävä, suoritettava, seurattava ja dokumentoitava prosessit, jotka varmistavat, että BCMS:
Sinun on seurattava huolellisesti suunniteltuja muutoksia ISMS ja varo odottamattomia, jotta voit toimia nopeasti estääksesi niiden aiheuttamat ongelmat. Sinun on tehtävä se maailmanlaajuisesti, pitää silmällä toimitusketjuasi ja kaikki ulkoistetut prosessit sekä organisaatiosi sisäiset prosessit.
Sinun on ymmärrettävä tarkasti, kuinka liiketoiminnan häiriöt voivat aiheuttaa vaikuttaa ja luoda riskejä organisaatiollesi. Tämä tarkoittaa kokonaisvaltaisen liiketoimintavaikutuksen luomista ja toteuttamista analyysi ja riskinarviointi menettelyt. Voit vapaasti valita, kumpi suoritat ensin. Liiketoiminnan vaikutusanalyysisi auttaa sinua määrittämään liiketoiminnan jatkuvuuden prioriteetit ja vaatimukset. Sinun on aloitettava määrittelemällä vaikutukset, jotka voivat aiheuttaa ongelmia organisaatiollesi. Sitten sinun on pohdittava tiettyjä toimintoja, joihin he voivat osua, ja kartoitettava aikataulu niiden aiheuttamille ongelmille. Tämä aikataulu auttaa sinua arvioimaan tarkalleen, milloin ongelmat muuttuvat mahdottomiksi hyväksyä.
Aika tähän hetkeen on suurin siedettävä häiriöjakso eli MTPD. Se on aika, jonka jälkeen toipuminen ei ole mahdollista. Sinulla voi olla yksi MTPD koko organisaatiollesi tai useita eri tuotteita tai palveluita varten. Kun se on määritetty, voit asettaa tietyn palautumisajan tavoitteen (RTO). Se on se piste tulevaisuudessa, jossa olet taas toiminnassa. Sinun on myös määritettävä palautuspistetavoitteesi eli RPO. Se on menneisyyden piste, johon haluat toipua, tai (toisin sanoen) viimeinen vahvistettu tilasi rehellisesti. Sinulla voi jälleen olla yksi tai useampi RTO ja RPO organisaatiosi ja sen tuotteiden ja palveluiden luonteesta riippuen.
Standardi ohjaa sinut ISO 31000 -standardiin saadaksesi ohjeita riskienhallinnasta. Sinun on ymmärrettävä riskit, joita häiriöt voivat aiheuttaa organisaatiosi tärkeimmille toiminnoille ja resursseille. Kun olet analysoinut ja arvioinut ne, voit päättää, mitä vastaan ryhdyt toimiin. Tietenkin meidän liiketoiminnan jatkuvuuden hallinta työkalujen avulla voit analysoida ja arvioida organisaatiosi kohtaamia haasteita ja yksinkertaistaa johtopäätösten jakamista ja perustelemista.
Olet pohtinut, miten kriisi voi vaikuttaa ja luoda riskejä organisaatiollesi. Olet ymmärtänyt näiden vaikutusten ja riskien luonteen ja olet määrittänyt aikataulun niiden käsittelemiselle. Nyt sinun on suunniteltava tarkasti, mitä tehdä ennen kriisin iskemistä, kun olet sen keskellä ja sen jälkeen.
Sinun on tutkittava mahdollisia strategioita ja ratkaisuja sen käsittelemiseksi. Niiden tulee:
Tee sitten valintasi ja etsi sellainen, joka parhaiten auttaa sinua jatkamaan tai aloittamaan uudelleen määrittämiesi avaintoimintojen asettamissa aikarajoissa. Siinä on myös otettava huomioon riskitasot, joihin organisaatiosi on tyytyväinen, sekä muut asiaankuuluvat kustannukset tai hyödyt.
Ja tietysti tarvitset oikeat resurssit valitsemiesi ratkaisujen toteuttamiseen. Yksittäisillä organisaatioilla voi olla hyvin erilaisia tarpeita. Sinun on aloitettava määrittelemällä ihmiset, joihin sinun on hyödynnettävä. Kun tiedät sen, voit suunnitella:
Tunsimme, että meillä oli
ihanneratkaisu. Olimme
osaa käyttää meidän
olemassa olevat prosessit,
& Adoptoida, mukauttaa
sisältö antoi meille uutta
syvyys ISMS:ään.
Olet nyt valmis ottamaan käyttöön ja ylläpitämään liiketoiminnan jatkuvuusratkaisusi, joka on valmis otettavaksi välittömästi käyttöön kriisiaikoina.
Tämä tarkoittaa, että suunnittelet kaikki organisaatiosi häiriöhallintaprosessit ja asetat selkeät kriteerit niiden käynnistämiselle. Näiden prosessien on vastattava jo tekemääsi strategista ajattelua ja ratkaisukehitystä. He tarvitsevat myös vastauskehyksen varmistaakseen, että organisaatiosi jakaa oikea-aikaisia varoituksia ja palautetta kaikille asiaankuuluville sidosryhmille.
Sinun liiketoiminnan jatkuvuuden ratkaisu on pakko:
Häiriöiden hallintatiimien on myös oltava valmiita lähtöön. Heidän kaikkien on koostuttava selkeästi tunnistetusta henkilöstöstä, jota täyden tuen on annettava dokumentoidut menettelyt. Tämä auttaa heitä arvioimaan kriisin luonteen, koon ja mahdolliset seuraukset ja toimimaan sen mukaisesti seuraavasti:
Hyvä viestintä on avain tehokkaaseen kriisinhallintaan. Sinun on mietittävä, miten kommunikoit haastavissa tilanteissa, kartoittamalla sekä sisäiset että ulkoiset viestintäreitit ja varmistamalla, että kaikki oikeat laitteet ovat käytettävissä niiden tukemiseksi.
Sinun on myös varmistettava, että kaikki saapuva ja lähtevä viestintä kirjataan oikein ja - tarvittaessa - vastataan. Laajemman viestintästrategiasi tulee sisältää kaikkea hätäapuhenkilöstön kanssa toimimisesta tiedotusvälineiden kanssa tekemiseen. Saatat myös joutua varmistamaan, että vastaavien organisaatioiden välisiä yhteyksiä hallitaan oikein.
Ja tietysti sinun on sisällytettävä kaikki tämä ja paljon muuta organisaatiosi liiketoiminnan jatkuvuussuunnitelmiin ja -menettelyihin. ISO 22301 -standardin kohdissa 8.4.4 ja 8.4.5 käsitellään hyvin yksityiskohtaisesti sitä, mitä niiden tulee sisältää. Suosittelemme käymään heidän vaatimuksensa läpi mahdollisimman huolellisesti varmistaaksesi, että suunnitelmasi vastaavat heidän erittäin selkeitä ja täsmällisiä odotuksiaan.
Standardi pyytää sinua perustamaan ja suorittamaan säännöllisen arviointi- ja testausohjelman liiketoiminnan jatkuvuussuunnitelmiesi ja ratkaisujesi luotettavuuden varmistamiseksi. Tämä tarkoittaa toimintojen ja arvioiden suorittamista, jotka vastaavat liiketoiminnan jatkuvuuden tavoitteita ja keskittyvät hyvin jäsenneltyihin, realistisiin skenaarioihin, joissa on selkeästi määritellyt prioriteetit ja tavoitteet.
Niillä on oltava positiivinen vaikutus BCMS:ään. Heidän tulee rakentaa kaikkien siihen osallistuvien tiimien suhteita, osaamista ja osaamista ja johtaa rakentavaan, perusteelliseen arvioinnit ja palaute, jotka parantavat se. Ajan myötä niiden pitäisi sekä vahvistaa BCMS:si nykyisessä tilassa että auttaa sinua parantamaan ja kehittämään sitä. Tämä viimeinen kohta on ratkaiseva – sinun on varmistettava, että tallennat ja toimit sen mukaan, mitä opit suorittamistasi harjoituksista.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
Tämä lauseke rakentuu edellisestä, ja siinä kuvataan, kuinka sinun tulee arvioida BCMS:n jokainen osa-alue ja kaikki tekijät, jotka voivat mahdollisesti vaikuttaa siihen.
Se antaa sinulle mallin kaiken tekemäsi työn perusteelliseen ja säännölliseen uudelleenarviointiin. Sinun on tarkasteltava kaikkia näkökohtia BCMS:n vastauksessa organisaatiosi tarpeisiin ja ongelmiin, suhteita ulkoisiin kumppaneihin ja toimittajiin ja se on kaikkien asiaankuuluvien käytäntöjen, määräysten ja alan normien mukainen. Kuten aina, se neuvoo myös sinua pitämään asiakirjojasi ja menettelyjäsi tarkasti silmällä ja päivittämään ne nopeasti ja tehokkaasti.
Sinun on suunniteltava tekeväsi sen säännöllisesti. Sinun tulee myös arvioida BCMS-järjestelmäsi uudelleen kaikkien tapahtumien tai aktivointien jälkeen tai kun organisaatiossasi tai liiketoimintaympäristössäsi tapahtuu merkittäviä muutoksia.
ISO 22301:2019 toteuttaa viitekehyksen, perustekstin ja määritelmät Liite L, entinen liite SL. Liitteessä L luodaan korkean tason viitekehys ISO:lle hallintajärjestelmä standardit. Liite laadittiin sisällyttämään samanlainen ydinteksti sekä yhteinen terminologia ja käsitteet.
Lukuun ottamatta kohtaa 8, liitteen L vaatimukset koskevat monia samoja alueita kuin ISO 27001 -standardin perusvaatimukset, joita käsitellään osissa 4.1–10.2.
