เตรียมเอกสารเพื่อเข้าสู่ ISO 22301 การบริหารความต่อเนื่องทางธุรกิจ

เอกสารและการบันทึกรายการ

เงื่อนไข(Clause)

ตาม

ISO 22301

การกำหนดบริหารขององค์กร

4.1

มีการกำหนดขั้นตอนการปฏิบัติงานที่ใช้ในการระบุเงื่อนไขที่จำเป็นทางกฎหมายและด้านกฎเกณฑ์ ที่เกี่ยวข้องกับการยืนเรื่องของการรับรอง

4.2.2

มีทะเบียนรายการ (List) ของเงื่อนไขที่จำเป็นทางกฎหมายและด้านกฎเกณฑ์และด้านอื่นๆ

4.2.2

มีการกำหนดขอบเขต(Scope)ของระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) และการอธิบายประเด็นในระดับสูง

4.3

มีการเขียนนโยบายด้านความต่อเนื่องทางธุรกิจ

5.3

มีการเขียนวัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ

6.2

มีการระบุสมรรถนะของบุคลากรที่เกี่ยวข้องและสอดคล้องกับนโยบายและวัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ

7.2

มีการวางแผน/กิจกรรมการสื่อสารแก่ผู้ร่วมผลประโยชน์เกี่ยวกับความต่อเนื่องทางธุรกิจ

7.4

มีการออกแบบกระบวนการ และการทำกิจกรรมการวิเคราะห์ผลกระทบทางธุรกิจและการค้นหา เพื่อเข้าถึงความเสี่ยงต่อความต่อเนื่องทางธุรกิจ

8.2.1

มีการสรุปผลของการวิเคราะห์ผลกระทบทางธุรกิจ

8.2.2

มีการสรุปผลของการค้นหาและการเข้าถึงความเสี่ยงจากการหยุดชะงักในรูปแบบและสถานการณ์ต่างๆต่อความต่อเนื่องทางธุรกิจ

8.2.3

มีการนำผลสรุปจาก 10 และ 11 มากำหนดขั้นตอนการดำเนินงานเพื่อจัดการความเสี่ยงให้เกิดความต่อเนื่องทางธุรกิจ

8.4.1

มีการกำหนดขั้นตอนการตอบโต้ต่ออุบัติการณ์แต่ละอุบัติการณ์

8.4.2

มีการเสนอข้อมูลและการให้ความเห็นชอบแผนการสื่อสาร

(1) ประเด็นความเสี่ยง

(2) ผลกระทบจากความเสี่ยง

แก่ผู้ที่เกี่ยวข้องภายนอก

8.4.2

มีการดำเนินการสื่อสารกับผู้ร่วมรับผลประโยชน์จากความต่อเนื่องทางธุรกิจรวมทั้งการวางระบบเสนอแนะความเสี่ยงทั้ง

(1)   ระดับพื้นที่

(2)   ระดับประเทศ

8.4.3

มีการวางกลไกการบันทึก รวบรวมข้อมูลสารสนเทศสำคัญเกี่ยวกับ

(1)   อุบัติการณ์ที่เกิดขึ้น

(2)   การดำเนินการและกิจกรรมที่เกิดขึ้น

(3)   การตัดสินใจเพิ่มเติมที่เกิดขึ้น

8.4.3

มีการวางขั้นตอนการปฏิบัติในการตอบโต้ กอบกู้เมื่อเกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงักของการดำเนินธุรกิจ

8.4.4

มีการวางขั้นตอนฟื้นฟูและการพลิกฟื้นการดำเนินธุรกิจด้วยมาตรการชั่วคราว

8.4.5

มีการสรุปผลลัพธ์ของการดำเนินการ จากการรับรู้แนวโน้มหรือผลทางลบ

9.1.1

มีการประมวลผล รวบรวมข้อมูลและผลลัพธ์ของการดำเนินการผ่านการติดตาม (Monitoring) และการวัดผล (Measurement)

9.1.1

มีการประมวลผล การรวบรวมข้อมูลและผลลัพธ์ที่มาจากกิจกรรมการทบทวนสถานการณ์ ภายหลังการเกิดอุบัติการณ์

9.1.2

มีการบริหารข้อมูลจากรายงานผลการตรวจสอบด้านความต่อเนื่องทางธุรกิจ

9.2

มีการประมวลผล การรวบรวมข้อมูลและผลลัพธ์ที่มาจากกิจกรรมการทบทวนระดับบริหาร

9.3

มีการสรุปและแฟ้มข้อมูลที่แสดงลักษณะของความขัดแย้ง ไม่ตรงกัน ไม่เหมาะสมและการจัดการแก้ไขให้ถูกต้องที่เกิดขึ้น

10.1

มีการสรุปผลลัพธ์ที่เกิดจากการจัดการแก้ไขให้ถูกต้อง

10.1

มีการสรุปเอกสารหลักฐานอื่น เพื่อเพิ่มความน่าเชื่อถือของการบริหารความต่อเนื่องทางธุรกิจ

เอกสารและการบันทึกรายการ

เงื่อนไข(Clause)

ตาม

ISO 27001

แผนการดำเนินการที่นำมาใช้เพื่อให้บรรลุวัตถุประสงค์ความต่อเนื่องทางธุรกิจ

6.2

แผนการฝึกอบรมและการสร้างความตระหนัก

(1) ความสำคัญของความต่อเนื่องทางธุรกิจ

(2) สมรรถนะของบุคลากรที่เกี่ยวข้อง

(3) ทักษะ ความรู้ที่จำเป็น

7.2,7.3

ขั้นตอนการปฏิบัติในการควบคุมสารสนเทศที่เกี่ยวข้องกับเอกสาร

7.5

ความตกลง ความร่วมมือ สัญญา และ Service Level Agreement(SLS)ที่มีกับซับพลายเออร์ Outsourcing พันธมิตรทางธุรกิจที่สนับสนุนความต่อเนื่องทางธุรกิจ

8.1

กลยุทธ์ความต่อเนื่องทางธุรกิจ

8.3

การบรรเทาและลดระดับความเสี่ยงที่เป็นทางเลือกที่ใช้ได้

8.3.3

สถานการณ์และฉากทัศน์เกี่ยวกับอุบัติการณ์ (Incident Scenarios)

8.5

แผนการฝึกปฏิบัติ (Exercise) และแผนการทดสอบจริง (Testing)

8.5

รายงานสรุปผลการฝึกปฏิบัติและการทดสอบเทียบกับแผนที่วางไว้

8.5

แผนการธำรงรักษาให้คงอยู่ และมีผลใช้บังคับระบบการบริหารความต่อเนื่องทางธุรกิจ

9.1.1

วิธีการที่ทำเป็นคู่มือในการติดตาม วัดผล วิเคราะห์ และประเมินผล กิจกรรมและประสิทธิภาพ ประสิทธิผลของแผนความต่อเนื่องทางธุรกิจ

9.1.1

ขั้นตอนการปฏิบัติในการตรวจสอบภายใน

9.2

โปรแกรมการตรวจสอบภายใน

9.2

ขั้นตอนการปฏิบัติในการดำเนินกิจกรรมเพื่อแก้ไขสู่ความถูกต้อง

10.1