Una vez que hayas planificado tu BCMS, debes pensar en cómo funcionará en la práctica. La cláusula 8 destaca todas las acciones prácticas que deberá realizar para asegurarse de que su BCMS funcione como debería. Es una de las secciones más detalladas e importantes de la norma.
Le pide que analice con cierto detalle las posibles amenazas y peligros comerciales. Tendrá que considerar cómo podrían alterar su organización y utilizar ese pensamiento para desarrollar una amplia gama de gestión de la continuidad detalles. Luego describe cómo probar periódicamente su BCMS y evaluar su eficacia continua.
Deberá definir, ejecutar, rastrear y documentar los procesos que garantizan que su BCMS:
Debe monitorear cuidadosamente cualquier cambio planificado en su ISMS y esté atento a los imprevistos, para poder actuar con rapidez y evitar cualquier problema que puedan causar. Necesitas hacerlo globalmente, vigilando su cadena de suministro y cualquier proceso subcontratado, así como los internos de su organización.
Necesitará entender exactamente cómo la interrupción del negocio podría afectar y crear riesgos para su organización. Eso significa establecer y ejecutar un impacto empresarial integral. análisis y evaluación de riesgos procedimientos. Eres libre de elegir cuál realizar primero. Su análisis de impacto empresarial le ayudará a establecer prioridades y requisitos de continuidad empresarial. Debes comenzar por definir los impactos que podrían causar problemas a tu organización. Luego tendrás que pensar en las actividades específicas que podrían afectar y trazar un cronograma para los problemas que podrían causar. Ese calendario le ayudará a evaluar exactamente cuándo esos problemas se vuelven inaceptables.
El período hasta ese momento es el período máximo tolerable de perturbación, o MTPD. Ese es el tiempo más allá del cual no es posible la recuperación. Es posible que tenga un MTPD para toda su organización o varios para diferentes productos o servicios. Una vez definido, puede establecer un objetivo de tiempo de recuperación (RTO) específico. Ese es el punto en el futuro en el que estará en funcionamiento nuevamente. También deberá definir su objetivo de punto de recuperación o RPO. Ese es el punto del pasado al que deseas recuperarte o (para decirlo de otra manera) tu último estado confirmado con integridad. Nuevamente, es posible que tenga uno o varios RTO y RPO, según la naturaleza de su organización y sus productos y servicios.
La norma le indica la norma ISO 31000 para obtener orientación sobre la gestión de riesgos. Deberá comprender los riesgos que la interrupción podría crear para las actividades y recursos más importantes de su organización. Una vez que los haya analizado y evaluado, podrá decidir contra cuáles tomar medidas. Por supuesto, nuestro gestión de la continuidad del negocio Las herramientas pueden ayudarle a analizar y evaluar los desafíos que enfrenta su organización y simplificar el intercambio y la justificación de sus conclusiones.
Ha analizado cómo una crisis podría afectar y crear riesgos para su organización. Ha comprendido la naturaleza de esos impactos y riesgos y ha trazado un cronograma para abordarlos. Ahora necesitas planificar exactamente qué hacer antes de que llegue la crisis, mientras estás en medio de ella y después de que termine.
Debe explorar posibles estrategias y soluciones para afrontarlo. Ellos deberán:
Luego haga su elección y busque la que mejor le ayude a continuar o reiniciar las actividades clave que ha identificado dentro de los plazos que ha establecido. También debe tener en cuenta los niveles de riesgo con los que su organización está satisfecha, además de cualquier otro costo o beneficio relevante.
Y, por supuesto, necesitará los recursos adecuados para implementar las soluciones que elija. Las organizaciones individuales pueden tener necesidades muy diferentes. Debes comenzar definiendo a las personas a las que necesitarás recurrir. Una vez que sepas eso, puedes planificar:
Sentimos que teníamos
lo mejor de ambos mundos. Éramos
capaz de utilizar nuestro
procesos existentes,
y el Adoptar, Adaptar
El contenido nos dio nuevos
profundidad a nuestro SGSI.
Ahora está listo para implementar y mantener su solución de continuidad del negocio, lista para su implementación inmediata en tiempos de crisis.
Eso significa planificar todos los procesos de gestión de disrupciones de su organización y establecer criterios claros para activarlos. Esos procesos deben coincidir con el pensamiento estratégico y el desarrollo de soluciones que ya ha realizado. También necesitarán un marco de respuesta para asegurarse de que su organización comparta advertencias y comentarios oportunos con todas las partes interesadas relevantes.
tú solución de continuidad del negocio debe:
Sus equipos de gestión de disrupciones también deben estar preparados. Todos ellos deben estar integrados por personal claramente identificado, apoyado por personal plenamente procedimientos documentados. Eso les ayudará a evaluar la naturaleza, el tamaño y las posibles consecuencias de cualquier crisis y luego actuar en consecuencia:
Las buenas comunicaciones son clave para una respuesta eficaz a las crisis. Debe pensar detenidamente cómo se comunicará en situaciones difíciles, trazando rutas de comunicaciones internas y externas y asegurándose de que todo el equipo adecuado esté disponible para respaldarlas.
También deberá asegurarse de que todas las comunicaciones entrantes y salientes se registren correctamente y, cuando corresponda, se respondan. Su estrategia de comunicaciones más amplia debe incluir todo, desde interactuar con los servicios de emergencia hasta tratar con los medios. Es posible que también deba asegurarse de que las comunicaciones entre las organizaciones que responden se gestionen adecuadamente.
Y, por supuesto, tendrás que incluir todo esto y más en los planes y procedimientos de continuidad del negocio de tu organización. La norma ISO 22301 detalla considerablemente lo que deben contener exactamente, en las cláusulas 8.4.4 y 8.4.5. Recomendamos revisar sus requisitos con el mayor cuidado posible para asegurarse de que sus planes coincidan con sus expectativas muy claras y específicas.
El estándar le pide que configure y ejecute un programa de evaluación y prueba regular para confirmar la confiabilidad de sus planes y soluciones de continuidad comercial. Eso significa realizar actividades y evaluaciones que se alineen con sus objetivos de continuidad del negocio y se centren en escenarios realistas y bien estructurados con prioridades y objetivos claramente definidos.
Deben tener un impacto positivo en su BCMS. Deben construir las relaciones, el conocimiento y la competencia de todos los equipos involucrados en él, y conducir a una construcción constructiva y exhaustiva. evaluaciones y comentarios que mejoran él. Con el tiempo, deberían validar su BCMS en su estado actual y ayudarle a mejorarlo y evolucionarlo. El último punto es crucial: debes asegurarte de registrar y actuar en consecuencia de todo lo que aprendas de los ejercicios que realices.
Una sesión práctica adaptada a tus necesidades y objetivos.
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
Esta cláusula se basa en la anterior y describe cómo debe evaluar cada aspecto de su BCMS y cada factor que podría afectarlo.
Le proporciona una plantilla para una reevaluación exhaustiva y periódica de todo el trabajo que ha realizado. Deberá analizar todos los aspectos de la respuesta de su BCMS a las necesidades y problemas de su organización, su relación con socios y proveedores externos y su cumplimiento de todas las políticas, regulaciones y normas de la industria relevantes. Como siempre, también te aconseja que vigiles de cerca tu documentación y trámites, actualizándolos con prontitud y eficacia.
Debe planificar hacerlo de forma regular. También debe reevaluar su BCMS después de cualquier incidente o activación, o cuando se produzcan cambios significativos en su organización o entorno empresarial.
ISO 22301:2019 implementa el marco, el texto fundamental y las definiciones de Anexo L, anteriormente Anexo SL. El Anexo L establece un marco de alto nivel para ISO sistema de gestión estándares. El Anexo se redactó para incorporar un texto central similar y terminología y conceptos comunes.
Excepto por la Cláusula 8, los requisitos del Anexo L abordan muchas de las mismas áreas que el requisitos básicos de la norma ISO 27001, cubierto en la Sección 4.1 a 10.2.