Une fois que vous avez planifié votre BCMS, vous devez réfléchir à la manière dont cela fonctionnera dans la pratique. L'article 8 met en évidence toutes les actions pratiques que vous devrez prendre pour vous assurer que votre BCMS fonctionne comme il se doit. Il s'agit de l'une des sections les plus détaillées et les plus importantes de la norme.
Il vous demande d’examiner en détail les menaces et les dangers potentiels pour votre entreprise. Vous devrez réfléchir à la manière dont ils pourraient perturber votre organisation et utiliser cette réflexion pour étoffer un large éventail de gestion de la continuité détails. Il décrit ensuite comment tester régulièrement votre BCMS et évaluer son efficacité continue.
Vous devrez définir, exécuter, suivre et documenter les processus qui garantissent que votre BCMS :
Vous devez surveiller attentivement tout changement prévu à votre ISMS et faites attention aux imprévus afin de pouvoir agir rapidement pour éviter tout problème qu’ils pourraient causer. Vous devez le faire à l'échelle mondiale, garder un œil sur votre chaîne d'approvisionnement et tous les processus externalisés ainsi que les processus internes de votre organisation.
Vous devrez comprendre exactement comment une perturbation des activités pourrait affecter et créer des risques pour votre organisation. Cela signifie mettre en place et gérer un impact commercial complet analyse et évaluation des risques procédures. Vous êtes libre de choisir laquelle réaliser en premier. Votre analyse d’impact sur votre activité vous aidera à établir les priorités et les exigences en matière de continuité des activités. Vous devez commencer par définir les impacts qui pourraient poser problème à votre organisation. Ensuite, vous devrez réfléchir aux activités spécifiques qu'ils pourraient réaliser et établir un calendrier pour les problèmes qu'ils pourraient causer. Ce calendrier vous aidera à évaluer exactement quand ces problèmes deviennent inacceptables.
La période jusqu’à ce moment est la période maximale tolérable de perturbation, ou MTPD. C'est le délai au-delà duquel aucune guérison n'est possible. Vous pouvez avoir un MTPD pour l’ensemble de votre organisation, ou plusieurs pour différents produits ou services. Une fois cela défini, vous pouvez définir un objectif de temps de récupération (RTO) spécifique. C’est à ce moment-là que vous serez à nouveau opérationnel. Vous devrez également définir votre objectif de point de récupération, ou RPO. C'est le moment du passé auquel vous souhaitez récupérer, ou (pour le dire autrement) votre dernier état confirmé avec intégrité. Encore une fois, vous pouvez avoir un ou plusieurs RTO et RPO, selon la nature de votre organisation et de ses produits et services.
La norme vous oriente vers la norme ISO 31000 pour des conseils sur la gestion des risques. Vous devrez comprendre les risques que les perturbations pourraient créer pour les activités et les ressources les plus importantes de votre organisation. Une fois que vous les aurez analysés et évalués, vous serez en mesure de décider contre lesquels agir. Bien entendu, notre gestion de la continuité des activités Ces outils peuvent vous aider à analyser et à évaluer les défis auxquels votre organisation est confrontée et à simplifier le partage et la justification de vos conclusions.
Vous avez examiné l'impact qu'une crise pourrait avoir sur votre organisation et engendrer des risques. Vous avez compris la nature de ces impacts et risques, et vous avez établi un calendrier pour y faire face. Vous devez maintenant planifier exactement quoi faire avant que la crise ne frappe, pendant que vous y êtes et après qu'elle soit terminée.
Vous devez explorer les stratégies et solutions possibles pour y faire face. Ils doivent :
Faites ensuite votre choix, en recherchant celui qui vous aidera le mieux à poursuivre ou à redémarrer les activités clés que vous avez identifiées dans les délais que vous avez fixés. Il doit également prendre en compte les niveaux de risque qui conviennent à votre organisation, ainsi que tous les autres coûts ou avantages pertinents.
Et bien sûr, vous aurez besoin des ressources adéquates pour mettre en œuvre les solutions que vous choisissez. Les organisations individuelles peuvent avoir des besoins très différents. Vous devez commencer par définir les personnes sur lesquelles vous devrez vous appuyer. Une fois que vous savez cela, vous pouvez planifier :
Nous avions l'impression d'avoir
le meilleur des deux mondes. Nous étions
pouvoir utiliser notre
les processus existants,
& l'adopter, s'adapter
le contenu nous a donné de nouvelles
profondeur à notre SMSI.
Vous êtes désormais prêt à mettre en œuvre et à maintenir votre solution de continuité d'activité, prête à être déployée immédiatement en temps de crise.
Cela signifie planifier tous les processus de gestion des perturbations de votre organisation et définir des critères clairs pour leur déclenchement. Ces processus doivent correspondre à la réflexion stratégique et au développement de solutions que vous avez déjà réalisés. Ils auront également besoin d'un cadre de réponse pour garantir que votre organisation partage en temps opportun les avertissements et les commentaires avec toutes les parties prenantes concernées.
Votre solution de continuité d'activité dovient:
Vos équipes de gestion des perturbations doivent également être prêtes à intervenir. Ils doivent tous être constitués d'un personnel clairement identifié, appuyé par des procédures documentées. Cela les aidera à évaluer la nature, l'ampleur et les conséquences potentielles de toute crise, puis à agir en conséquence en :
Une bonne communication est la clé d’une réponse efficace aux crises. Vous devez réfléchir à la manière dont vous communiquerez dans des situations difficiles, en cartographiant les itinéraires de communication internes et externes et en vous assurant que tout l'équipement approprié est disponible pour les prendre en charge.
Vous devrez également vous assurer que toutes les communications entrantes et sortantes sont correctement enregistrées et, le cas échéant, traitées. Votre stratégie de communication plus large doit inclure tout, depuis l'engagement avec les intervenants d'urgence jusqu'aux relations avec les médias. Vous devrez peut-être également vous assurer que les communications entre les organisations répondantes sont correctement gérées.
Et bien sûr, vous devrez inclure tout cela et bien plus encore dans les plans et procédures de continuité des activités de votre organisation. La norme ISO 22301 donne des détails considérables sur ce qu'ils doivent contenir exactement, dans les clauses 8.4.4 et 8.4.5. Nous vous recommandons d'examiner leurs exigences aussi attentivement que possible pour vous assurer que vos projets correspondent à leurs attentes très claires et spécifiques.
La norme vous demande de mettre en place et d'exécuter un programme régulier d'évaluation et de tests pour confirmer la fiabilité de vos plans et solutions de continuité d'activité. Cela signifie mener des activités et des évaluations qui correspondent à vos objectifs de continuité d’activité et se concentrer sur des scénarios bien structurés et réalistes avec des priorités et des objectifs clairement définis.
Ils doivent avoir un impact positif sur votre BCMS. Ils doivent construire les relations, le savoir-faire et les compétences de toutes les équipes impliquées, et conduire à des réflexions constructives et approfondies. des évaluations et des retours qui améliorent il. Au fil du temps, ils devraient à la fois valider votre BCMS dans son état actuel et vous aider à l'améliorer et à le faire évoluer. Ce dernier point est crucial : vous devez vous assurer d’enregistrer et d’agir en fonction de tout ce que vous apprenez des exercices que vous effectuez.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Nous sommes très heureux d'avoir trouvé cette solution, elle a permis à tout de s'assembler plus facilement.
Cette clause s'appuie sur la précédente, décrivant comment vous devez évaluer chaque aspect de votre BCMS et chaque facteur qui pourrait éventuellement l'affecter.
Il vous donne un modèle pour une réévaluation approfondie et régulière de tout le travail que vous avez effectué. Vous devrez examiner tous les aspects de la réponse de votre BCMS aux besoins et aux problèmes de votre organisation, ses relation avec les éventuels partenaires et fournisseurs externes et sa conformité à toutes les politiques, réglementations et normes industrielles pertinentes. Comme toujours, il vous conseille également de garder un œil attentif sur votre documentation et vos procédures, en les mettant à jour rapidement et efficacement.
Vous devez prévoir de le faire régulièrement. Vous devez également réévaluer votre BCMS après tout incident ou activation, ou lorsque des changements importants surviennent dans votre organisation ou votre environnement commercial.
ISO 22301:2019 met en œuvre le cadre, le texte fondamental et les définitions de Annexe L, anciennement Annexe SL. L'Annexe L établit un cadre de haut niveau pour l'ISO Système de gestion normes. L'annexe a été rédigée pour incorporer un texte de base similaire ainsi qu'une terminologie et des concepts communs.
À l'exception de l'Article 8, les exigences de l'Annexe L traitent bon nombre des mêmes domaines que ceux de l'Annexe L. exigences fondamentales de la norme ISO 27001, couvert dans les sections 4.1 à 10.2.
