Sobald Sie Ihre geplant haben BCMS, müssen Sie darüber nachdenken, wie es in der Praxis funktionieren wird. Abschnitt 8 hebt alle praktischen Maßnahmen hervor, die Sie ergreifen müssen, um sicherzustellen, dass Ihr BCMS ordnungsgemäß funktioniert. Es handelt sich um einen der detailliertesten und wichtigsten Abschnitte der Norm.
Sie werden aufgefordert, potenzielle geschäftliche Bedrohungen und Gefahren im Detail durchzuarbeiten. Sie müssen darüber nachdenken, wie sie Ihre Organisation stören könnten, und diese Überlegungen nutzen, um eine breite Palette von Problemen zu konkretisieren Kontinuitätsmanagement Einzelheiten. Anschließend wird beschrieben, wie Sie Ihr BCMS regelmäßig testen und seine fortlaufende Wirksamkeit bewerten.
Sie müssen die Prozesse definieren, ausführen, verfolgen und dokumentieren, die sicherstellen, dass Ihr BCMS:
Sie müssen alle geplanten Änderungen an Ihrem Gerät sorgfältig überwachen ISMS und achten Sie auf ungeplante Ereignisse, damit Sie schnell handeln können, um mögliche Probleme zu vermeiden. Sie müssen dies global tun, Behalten Sie Ihre Lieferkette im Auge und alle ausgelagerten Prozesse sowie die internen Prozesse Ihrer Organisation.
Sie müssen genau verstehen, wie es zu Geschäftsunterbrechungen kommen kann Auswirkungen auf Ihr Unternehmen haben und Risiken für Ihr Unternehmen schaffen können. Das bedeutet die Einrichtung und Umsetzung umfassender Business Impact-Lösungen Analyse und Risikobewertung Verfahren. Sie können frei wählen, was Sie zuerst ausführen möchten. Ihre Business-Impact-Analyse hilft Ihnen dabei, Prioritäten und Anforderungen für die Geschäftskontinuität festzulegen. Sie müssen damit beginnen, die Auswirkungen zu definieren, die Probleme für Ihre Organisation verursachen könnten. Dann müssen Sie über die konkreten Aktivitäten nachdenken, auf die sie stoßen könnten, und einen Zeitrahmen für die Probleme festlegen, die sie verursachen könnten. Mithilfe dieses Zeitrahmens können Sie genau beurteilen, wann diese Probleme inakzeptabel werden.
Der Zeitraum bis zu diesem Zeitpunkt ist die maximal tolerierbare Störungsdauer (MTPD). Das ist die Zeit, nach deren Ablauf keine Genesung mehr möglich ist. Möglicherweise haben Sie ein MTPD für Ihr gesamtes Unternehmen oder mehrere für verschiedene Produkte oder Dienstleistungen. Sobald dies definiert ist, können Sie ein spezifisches Wiederherstellungszeitziel (RTO) festlegen. Das ist der Punkt in der Zukunft, an dem Sie wieder einsatzbereit sind. Sie müssen außerdem Ihr Wiederherstellungspunktziel (RPO) definieren. Das ist der Punkt in der Vergangenheit, zu dem Sie zurückkehren möchten, oder (anders ausgedrückt) Ihr letzter bestätigter Zustand mit Integrität. Auch hier können Sie je nach Art Ihres Unternehmens und seiner Produkte und Dienstleistungen über ein oder mehrere RTOs und RPOs verfügen.
Die Norm verweist Sie auf ISO 31000 als Orientierungshilfe für das Risikomanagement. Sie müssen die Risiken verstehen, die Störungen für die wichtigsten Aktivitäten und Ressourcen Ihres Unternehmens mit sich bringen können. Sobald Sie sie analysiert und bewertet haben, können Sie entscheiden, gegen welche Maßnahmen Sie vorgehen. Natürlich unsere Wirtschaftskontinuitätsmanagement Tools können Ihnen dabei helfen, die Herausforderungen, denen Ihr Unternehmen gegenübersteht, zu analysieren und zu bewerten und das Teilen und Begründen Ihrer Schlussfolgerungen zu vereinfachen.
Sie haben untersucht, wie sich eine Krise auf Ihr Unternehmen auswirken und Risiken für es mit sich bringen könnte. Sie haben die Art dieser Auswirkungen und Risiken verstanden und einen Zeitplan für den Umgang mit ihnen festgelegt. Jetzt müssen Sie genau planen, was zu tun ist, bevor die Krise eintritt, während Sie mittendrin sind und nachdem sie vorbei ist.
Sie müssen mögliche Strategien und Lösungen für den Umgang damit erkunden. Sie sollten:
Treffen Sie dann Ihre Wahl und suchen Sie nach einer Lösung, die Ihnen am besten hilft, die von Ihnen identifizierten Schlüsselaktivitäten innerhalb des von Ihnen festgelegten Zeitrahmens fortzusetzen oder wieder aufzunehmen. Es muss auch die Risikostufen berücksichtigen, mit denen Ihr Unternehmen zufrieden ist, sowie alle anderen relevanten Kosten oder Vorteile.
Und natürlich benötigen Sie die richtigen Ressourcen, um die von Ihnen gewählten Lösungen umzusetzen. Einzelne Organisationen können sehr unterschiedliche Bedürfnisse haben. Sie müssen damit beginnen, die Personen zu definieren, auf die Sie zurückgreifen müssen. Sobald Sie das wissen, können Sie Folgendes planen:
Wir hatten das Gefühl, wir hätten es getan
das Beste aus beiden Welten. Wir waren
in der Lage, unsere zu nutzen
bestehende Prozesse,
& das Adoptieren, Anpassen
Inhalte gaben uns Neues
Tiefe unseres ISMS.
Sie sind jetzt bereit, Ihre Business-Continuity-Lösung zu implementieren und zu warten, sodass sie in Krisenzeiten sofort einsatzbereit ist.
Das bedeutet, dass Sie alle Störungsmanagementprozesse Ihrer Organisation planen und klare Kriterien für deren Auslösung festlegen müssen. Diese Prozesse müssen mit dem strategischen Denken und der Lösungsentwicklung übereinstimmen, die Sie bereits durchgeführt haben. Sie benötigen außerdem einen Reaktionsrahmen, um sicherzustellen, dass Ihre Organisation rechtzeitig Warnungen und Feedback an alle relevanten Stakeholder weitergibt.
Sie Business-Continuity-Lösung sollen:
Auch Ihre Störungsmanagementteams müssen einsatzbereit sein. Sie müssen alle aus eindeutig identifiziertem Personal bestehen, das vollständig unterstützt wird dokumentierte Verfahren. Das wird ihnen helfen, die Art, das Ausmaß und die möglichen Folgen einer Krise einzuschätzen und dann entsprechend zu handeln, indem sie:
Gute Kommunikation ist ein Schlüssel für eine wirksame Krisenreaktion. Sie müssen darüber nachdenken, wie Sie in schwierigen Situationen kommunizieren, indem Sie sowohl interne als auch externe Kommunikationswege festlegen und sicherstellen, dass Ihnen die richtige Ausrüstung zur Verfügung steht.
Sie müssen außerdem sicherstellen, dass alle ein- und ausgehenden Kommunikationen ordnungsgemäß protokolliert und – sofern relevant – beantwortet werden. Ihre umfassendere Kommunikationsstrategie muss alles umfassen, von der Zusammenarbeit mit Notfallhelfern bis hin zum Umgang mit den Medien. Möglicherweise müssen Sie auch sicherstellen, dass die Kommunikation zwischen den antwortenden Organisationen ordnungsgemäß verwaltet wird.
Und natürlich müssen Sie all dies und noch mehr in die Geschäftskontinuitätspläne und -verfahren Ihres Unternehmens einbeziehen. Die Norm ISO 22301 geht in den Abschnitten 8.4.4 und 8.4.5 sehr detailliert darauf ein, was sie genau enthalten müssen. Wir empfehlen Ihnen, ihre Anforderungen so sorgfältig wie möglich durchzugehen, um sicherzustellen, dass Ihre Pläne mit ihren sehr klaren und spezifischen Erwartungen übereinstimmen.
Der Standard verlangt von Ihnen, ein regelmäßiges Evaluierungs- und Testprogramm einzurichten und durchzuführen, um die Zuverlässigkeit Ihrer Business-Continuity-Pläne und -Lösungen zu bestätigen. Das bedeutet, dass Sie Aktivitäten und Bewertungen durchführen müssen, die Ihren Geschäftskontinuitätszielen entsprechen und sich auf gut strukturierte, realistische Szenarien mit klar definierten Prioritäten und Zielen konzentrieren.
Sie müssen einen positiven Einfluss auf Ihr BCMS haben. Sie müssen die Beziehungen, das Know-how und die Kompetenz aller daran beteiligten Teams aufbauen und zu einer konstruktiven, gründlichen Umsetzung führen Bewertungen und Feedback, die zu Verbesserungen führen Es. Im Laufe der Zeit sollten sie Ihr BCMS in seinem aktuellen Zustand validieren und Ihnen dabei helfen, es zu verbessern und weiterzuentwickeln. Der letzte Punkt ist entscheidend – Sie müssen sicherstellen, dass Sie alles, was Sie aus den durchgeführten Übungen lernen, aufzeichnen und umsetzen.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
Diese Klausel baut auf der letzten auf und beschreibt, wie Sie jeden Aspekt Ihres BCMS und jeden Faktor, der es möglicherweise beeinflussen könnte, bewerten sollten.
Es bietet Ihnen eine Vorlage für eine gründliche und regelmäßige Neubewertung aller von Ihnen geleisteten Arbeiten. Sie müssen sich jeden Aspekt der Reaktion Ihres BCMS auf die Bedürfnisse und Probleme Ihrer Organisation ansehen Beziehung zu externen Partnern und Lieferanten und die Einhaltung aller relevanten Richtlinien, Vorschriften und Branchennormen. Wie immer empfiehlt es Ihnen auch, Ihre Dokumentation und Verfahren genau im Auge zu behalten und diese zeitnah und effizient zu aktualisieren.
Sie müssen dies regelmäßig einplanen. Sie sollten Ihr BCMS auch nach Vorfällen oder Aktivierungen oder wenn wesentliche Änderungen in Ihrer Organisation oder Geschäftsumgebung auftreten, neu bewerten.
ISO 22301:2019 implementiert den Rahmen, den grundlegenden Text und die Definitionen von Anhang L., ehemals Annex SL. Anhang L legt einen übergeordneten Rahmen für ISO fest Management System Standards. Der Anhang wurde erstellt, um einen ähnlichen Kerntext sowie gemeinsame Terminologie und Konzepte aufzunehmen.
Mit Ausnahme von Abschnitt 8 decken die Anforderungen von Anhang L viele der gleichen Bereiche ab wie die Kernanforderungen der ISO 27001, behandelt in Abschnitt 4.1 bis 10.2.