Le Pratiche Professionali
Informazioni sulle Pratiche Professionali
Login to AccessCreato e mantenuto da Disaster Recovery Institute (DRI) International, le Pratiche Professionali per il Business Continuity Management (BCM) sono un corpus di conoscenze progettato per assistere lo sviluppo, l'implementazione e il mantenimento dei programmi di business continuity e anche uno strumento per la valutazione dei programmi esistenti.
L'uso delle Pratiche Professionali per sviluppare, implementare e mantenere un programma di business continuity può ridurre la probabilità di carenze significative in un programma di BCM e aumentarne la coesione. L'uso delle Pratiche Professionali per valutare un programma BCM può identificare carenze o carenze in modo da poterle correggere.
Il Business Continuity Management (BCM) è un processo di gestione olistico che identifica le minacce potenziali per un'organizzazione e gli impatti sulle operazioni aziendali che tali minacce, se realizzate, potrebbero causare, e che fornisce un quadro per costruire la resilienza organizzativa con la capacità di una risposta efficace che salvaguardi gli interessi dei principali stakeholder, la reputazione, il marchio e le attività che creano valore. I termini utilizzati sono definiti nel Glossario Internazionale per la Resilienza pubblicato e mantenuto da DRI International.
Pratiche Professionali 2023
Nell'ambito dei continui sforzi di DRI International per mantenere la rilevanza e l'utilità delle Pratiche Professionali, è stata intrapresa un'ampia revisione di sostanza, forma e funzione che ha avuto inizio il 1° novembre 2021 ed è terminata il 1° agosto 2022. L'obiettivo era quello di fornire:
- Una versione migliorata della “Pratica Professionale 5: Preparazione e risposta agli incidenti”, per includere un maggior numero di attività di preparazione relative alla gestione degli incidenti;
- Ulteriori informazioni sull'identificazione delle varie minacce informatiche e sulle strategie di rimedio ottenute integrando le attività di cybersecurity nel Business Continuity Management;
- Migliorare la descrizione dell'uso dell'assicurazione come strumento di trasferimento del rischio e fornire esempi più specifici di polizze assicurative che dovrebbero essere parte integrante della strategia di Business Continuity Management;
- Definire soluzioni di backup dei dati più robuste;
- Spiegare strategie più specifiche per la tecnologia e;
- Dettagliare più strategie di continuità dei processi di produzione.
Inoltre, sono stati modificati i titoli di quattro Pratiche Professionali:
- La Pratica Professionale 1 è stata modificata da Avvio e gestione del programma a Gestione del programma;
- La Pratica Professionale 5 è stata modificata da Risposta agli Incidenti a Preparazione e Risposta agli Incidenti per enfatizzare le attività necessarie a creare un piano di risposta efficace;
- La Pratica Professionale 8 è stata modificata da Esercitazione, valutazione e aggiornamento del piano di business continuity a Esercitazione/test, valutazione e aggiornamento del piano di business continuity per coerenza; e
- La Pratica Professionale 10 è stata modificata da Coordinamento con le agenzie esterne a Coordinamento con le agenzie e le risorse esterne.
Sintesi
Obiettivi delle Pratiche Professionali per il Business Continuity Management
1. Gestione del programma
- Stabilire la necessità di un programma di business continuity.
- Introdurre i concetti chiave, come la gestione del programma, la consapevolezza del rischio, l'impatto sulle funzioni/processi critici, le strategie di ripristino, la formazione e la consapevolezza e le esercitazioni/test.
2. Valutazione del rischio (Risk Assessment)
- Identificare i rischi che potrebbero avere un impatto sulle risorse, sui processi o sulla reputazione di un'organizzazione.
- Valutare i rischi per determinare i potenziali impatti negativi per l'organizzazione, consentendole di determinare i mezzi più efficaci per ridurli.
3. Business Impact Analysis
- Identificare e dare priorità a tutte le funzioni, i processi e le dipendenze dell'organizzazione per determinare l'impatto maggiore sull'organizzazione nel caso in cui le funzioni non siano disponibili. Questa analisi deve essere conservata e disponibile per aiutare l'organizzazione a comprendere gli incidenti e/o le conseguenze che ne derivano. Quantificare l'impatto sull'organizzazione, sui suoi servizi e sulle terze parti interessate.
- Analizzare, documentare e comunicare i risultati per evidenziare tutte i divari tra i requisiti dell'organizzazione e le sue capacità attuali.
4. Strategie di Business Continuity
- Selezionare le strategie per ridurre le carenze identificate durante la valutazione del rischio e la Business Impact Analysis.
- Definire il ruolo delle funzioni dell'organizzazione nella strategia, compresi i potenziali fornitori di servizi terzi, con il supporto dei responsabili delle funzioni.
5. Preparazione e risposta agli incidenti
- Comprendere i tipi di incidenti che potrebbero minacciare la vita, la proprietà, le operazioni o l'ambiente e i loro potenziali impatti.
- Stabilire e mantenere una capacità di risposta agli incidenti, per proteggere la vita, la proprietà, le operazioni dell’organizzazione e l'ambiente da potenziali incidenti. Implementare un sistema di reazione agli incidenti per gestire, controllare e coordinare le attività di risposta, continuità e recupero, tramite risorse interne ed esterne.
6. Sviluppo e attuazione dei piani
- Documentare i piani da utilizzare durante un incidente che consentiranno all'organizzazione di continuare a funzionare.
- Definire i criteri di esercitazione/test per confermare che i piani raggiungano l'obiettivo desiderato.
7. Programmi di sensibilizzazione e formazione
- Stabilire e mantenere programmi di formazione e sensibilizzazione che consentano al personale di rispondere agli incidenti in modo calmo ed efficiente.
8. Esercitazione/Test dei piani di business continuity, valutazione e aggiornamento
- Stabilire un programma di esercitazione/test, valutazione e aggiornamento dei piani di business continuity per migliorare lo stato di preparazione dell'organizzazione.
9. Comunicazioni di crisi
- Creare e mantenere un piano di comunicazione di crisi.
- Garantire che il piano di comunicazione di crisi preveda una comunicazione tempestiva ed efficace con le parti interne ed esterne.
10. Coordinamento con gli enti pubblici e le risorse esterne
- Stabilire politiche e procedure per coordinare le attività di risposta con gli enti pubblici e le risorse private applicabili, in conformità alla Pratica Professionale 5: Preparazione e risposta agli incidenti.